community.hashi_vault.vault_kv2_get 模块 – 从 HashiCorp Vault 的 KV 版本 2 秘密存储中获取密钥
注意
此模块是 community.hashi_vault 集合(版本 6.2.0)的一部分。
如果您正在使用 ansible 包,您可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用:ansible-galaxy collection install community.hashi_vault。您需要其他要求才能使用此模块,请参阅要求 以获取详细信息。
要在 playbook 中使用它,请指定:community.hashi_vault.vault_kv2_get。
community.hashi_vault 2.5.0 中新增
概要
从 HashiCorp Vault 的 KV 版本 2 秘密存储中获取密钥。
要求
执行此模块的主机需要满足以下要求。
参数
参数 |
注释 |
|---|---|
要使用的身份验证方法。
选择
|
|
要使用的 AWS 访问密钥。 |
|
如果指定,则设置要用于 |
|
AWS 配置文件 |
|
与访问密钥对应的 AWS 密钥。 |
|
如果使用临时访问密钥和密钥,则为 AWS 安全令牌。 |
|
Azure AD 服务主体或托管标识的客户端 ID(也称为应用程序 ID)。应为 UUID。 如果未指定,将使用系统分配的托管标识。 |
|
Azure AD 服务主体的客户端密钥。 |
|
在 Azure Active Directory 中注册的应用程序的资源 URL。通常不应更改为默认值。 默认: |
|
服务主体的 Azure Active Directory 租户 ID(也称为目录 ID)。应为 UUID。 当使用服务主体向 Vault 进行身份验证时,必须指定,例如,当指定 azure_client_id 和 azure_client_secret 时是必需的。 当使用托管标识向 Vault 进行身份验证时,是可选的。 |
|
用于身份验证的证书路径。 如果未通过任何其他方式指定,将使用 |
|
对于 |
|
对于 |
|
秘密后端挂载的路径。 默认: |
|
用于 JWT 向 Vault 进行身份验证的 JSON Web 令牌 (JWT)。 |
|
Vault 挂载点。 如果未指定,则使用给定身份验证方法的默认挂载点。 不适用于令牌身份验证。 |
|
密钥所在的 Vault 命名空间。此选项需要 HVAC 0.7.0+ 和 Vault 0.11+。 或者,可以通过在身份验证挂载点和/或密钥路径前加上命名空间来实现(例如 如果设置了环境变量 |
|
身份验证密码。 |
|
要读取的 Vault KV 路径。 这是相对于 *engine_mount_point* 的,因此不应包含挂载路径。 对于 kv2,不要包含 |
|
用于访问 Vault 服务的代理 URL。 它可以是字符串或字典。 如果它是一个字典,则将方案(例如 如果它是一个字符串,则提供一个将用作 可以解释为字典的字符串将转换为字典(请参阅示例)。 您可以为 HTTP 和 HTTPS 资源指定不同的代理。 如果未指定,则使用Requests 库中的环境变量。 |
|
创建连接的 AWS 区域。 |
|
允许根据urllib3 库中的 Retry 类在错误时进行重试。 此集合定义了建议的 Vault 连接重试默认值。 此选项可以指定为正数(整数)或字典。 如果未指定此选项或数字为 数字设置重试总次数,并使用集合默认值进行其他设置。 字典值直接用于初始化 有关重试的详细信息,请参阅集合用户指南。 |
|
控制是否以及如何在重试时显示消息。 如果请求未重试,则此项无效。 选择
|
|
Vault 角色 ID 或名称。用于 对于 对于 |
|
用于 Vault AppRole 身份验证的密钥 ID。 |
|
设置连接超时时间(以秒为单位)。 如果未设置,则使用 |
|
Vault 令牌。可以通过列出的[env]变量以及 如果未显式或通过环境变量提供令牌,则插件将检查令牌文件,如 *token_path* 和 *token_file* 所确定的。 令牌加载的顺序(先找到的优先)是 |
|
如果未指定令牌,将尝试从 *token_path* 中的此文件读取令牌。 默认值: |
|
如果未指定令牌,将尝试从此路径读取 *token_file*。 |
|
对于令牌身份验证,将执行 如果您的令牌没有 选择
|
|
Vault 服务的 URL。 如果未通过任何其他方式指定,则将使用 如果也未定义 |
|
身份验证用户名。 |
|
控制 SSL 证书的验证,通常您只希望在使用自签名证书时将其关闭。 如果设置了 如果未设置 *validate_certs* 或 选择
|
|
指定要返回的版本。如果未设置,则返回最新版本。 |
属性
属性 |
支持 |
描述 |
|---|---|---|
操作组: community.hashi_vault.vault |
在 |
|
支持:完全 此模块是“只读”的,并且无论检查模式如何,其操作方式都相同。 |
可以在 |
参见
另请参阅
- community.hashi_vault.vault_kv2_get 查找
community.hashi_vault.vault_kv2_get查找插件的官方文档。- community.hashi_vault.vault_kv1_get
从 HashiCorp Vault 的 KV 版本 1 密钥存储中获取密钥。
- community.hashi_vault.vault_kv2_write
对 HashiCorp Vault 中的 KVv2 密钥执行写入操作。
- KV2 密钥引擎
Vault KV 密钥引擎(版本 2)的文档。
示例
- name: Read the latest version of a kv2 secret from Vault via the remote host with userpass auth
community.hashi_vault.vault_kv2_get:
url: https://vault:8201
path: hello
auth_method: userpass
username: user
password: '{{ passwd }}'
register: response
# equivalent API path is secret/data/hello
- name: Display the results
ansible.builtin.debug:
msg:
- "Secret: {{ response.secret }}"
- "Data: {{ response.data }} (contains secret data & metadata in kv2)"
- "Metadata: {{ response.metadata }}"
- "Full response: {{ response.raw }}"
- "Value of key 'password' in the secret: {{ response.secret.password }}"
- name: Read version 5 of a secret from kv2 with a different mount via the remote host
community.hashi_vault.vault_kv2_get:
url: https://vault:8201
engine_mount_point: custom/kv2/mount
path: hello
version: 5
register: response
# equivalent API path is custom/kv2/mount/data/hello
- name: Assert that the version returned is as expected
ansible.builtin.assert:
that:
- response.metadata.version == 5
返回值
通用返回值记录在此处,以下是此模块特有的字段
键 |
描述 |
|---|---|
原始结果的 返回:成功 示例: |
|
返回:成功 示例: |
|
针对给定路径读取的原始结果。 返回:成功 示例: |
|
返回:成功 示例: |