community.hashi_vault.vault_list 模块 – 对 HashiCorp Vault 执行列表操作

注意

此模块是 community.hashi_vault 集合 (版本 6.2.0) 的一部分。

如果您正在使用 ansible 包，则可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用：ansible-galaxy collection install community.hashi_vault。您需要其他需求才能使用此模块，有关详细信息，请参阅需求。

要在剧本中使用它，请指定：community.hashi_vault.vault_list。

community.hashi_vault 4.1.0 中的新增功能

概要 

对 HashiCorp Vault 中给定路径执行通用列表操作。

需求 

执行此模块的主机需要以下需求。

hvac (Python 库)
有关详细要求，请参阅集合需求页面。

参数 

参数	注释
auth_method 字符串	要使用的身份验证方法。 `none` 身份验证方法在集合版本 `1.2.0` 中添加。 `cert` 身份验证方法在集合版本 `1.4.0` 中添加。 `aws_iam_login` 在集合版本 `2.1.0` 中重命名为 `aws_iam`，并在 `3.0.0` 中删除。 `azure` 身份验证方法在集合版本 `3.2.0` 中添加。选项 `"token"` ← (默认) `"userpass"` `"ldap"` `"approle"` `"aws_iam"` `"azure"` `"jwt"` `"cert"` `"none"`
aws_access_key 别名：aws_access_key_id 字符串	要使用的 AWS 访问密钥。
aws_iam_server_id 字符串在 community.hashi_vault 0.2.0 中添加	如果指定，则将值设置为用于 `X-Vault-AWS-IAM-Server-ID` 标头，作为 `GetCallerIdentity` 请求的一部分。
aws_profile 别名：boto_profile 字符串	AWS 配置文件
aws_secret_key 别名：aws_secret_access_key 字符串	与访问密钥对应的 AWS 密钥。
aws_security_token 字符串	如果使用临时访问密钥和密钥，则为 AWS 安全令牌。
azure_client_id 字符串在 community.hashi_vault 3.2.0 中添加	Azure AD 服务主体或托管标识的客户端 ID（也称为应用程序 ID）。应为 UUID。如果未指定，将使用系统分配的托管标识。
azure_client_secret 字符串在 community.hashi_vault 3.2.0 中添加	Azure AD 服务主体的客户端密钥。
azure_resource 字符串在 community.hashi_vault 3.2.0 中添加	在 Azure Active Directory 中注册的应用程序的资源 URL。通常不应更改默认值。默认值： `"https://management.azure.com/"`
azure_tenant_id 字符串在 community.hashi_vault 3.2.0 中添加	服务主体的 Azure Active Directory 租户 ID（也称为目录 ID）。应为 UUID。使用服务主体向 Vault 进行身份验证时需要，例如，当同时指定了 azure_client_id 和 azure_client_secret 时需要。使用托管身份验证到 Vault 时可选。
ca_cert 别名：cacert 字符串	用于身份验证的证书路径。如果未通过其他任何方式指定，则将使用`VAULT_CACERT`环境变量。
cert_auth_private_key 路径在 community.hashi_vault 1.4.0 中添加	对于`cert`身份验证，用于身份验证的私钥文件路径，PEM 格式。
cert_auth_public_key 路径在 community.hashi_vault 1.4.0 中添加	对于`cert`身份验证，用于身份验证的证书文件路径，PEM 格式。
jwt 字符串	用于 JWT 身份验证到 Vault 的 JSON Web 令牌 (JWT)。
mount_point 字符串	Vault 挂载点。如果未指定，则使用给定身份验证方法的默认挂载点。不适用于令牌身份验证。
namespace 字符串	Vault 中存放密钥的命名空间。此选项需要 HVAC 0.7.0+ 和 Vault 0.11+。或者，可以通过在身份验证挂载点和/或密钥路径前添加命名空间来实现此目的（例如 `mynamespace/secret/mysecret`）。如果设置了环境变量`VAULT_NAMESPACE`，则其值将在所有指定namespace的方法中最后使用。
password 字符串	身份验证密码。
路径字符串 / 必需	要列出的 Vault 路径。
proxies 任意在 community.hashi_vault 1.1.0 中添加	用于访问 Vault 服务的代理的 URL。它可以是字符串或字典。如果是字典，请提供方案（例如 `http` 或 `https`）作为键，并将 URL 作为值。如果是字符串，则提供单个 URL，该 URL 将用作 `http` 和 `https` 方案的代理。可以解释为字典的字符串将转换为字典（请参见示例）。您可以为 HTTP 和 HTTPS 资源指定不同的代理。如果未指定，则使用Requests 库的环境变量。
region 字符串	要为其创建连接的 AWS 区域。
retries 任意在 community.hashi_vault 1.3.0 中添加	允许根据urllib3 库中的 Retry 类重试错误。此集合定义了重试与 Vault 建立连接的推荐默认值。此选项可以指定为正数（整数）或字典。如果未指定此选项或数字为`0`，则禁用重试。数字设置重试的总数，并使用集合默认值进行其他设置。字典值直接用于初始化`Retry`类，因此它可以用于完全自定义重试。有关重试的详细信息，请参见集合用户指南。
retry_action 字符串在 community.hashi_vault 1.3.0 中添加	控制是否以及如何显示retries的消息。如果未重试请求，则此选项无效。选项 `“忽略”` `"警告"` ← (默认)
role_id 字符串	Vault 角色 ID 或名称。用于`approle`、`aws_iam`、`azure`和`cert`身份验证方法。对于`cert`身份验证，如果没有提供role_id，则默认行为是尝试所有证书角色并返回任何一个匹配的角色。对于`azure`身份验证，需要role_id。
secret_id 字符串	用于 Vault AppRole 身份验证的密钥 ID。
timeout 整数在 community.hashi_vault 1.3.0 中添加	设置连接超时（以秒为单位）。如果未设置，则使用`hvac`库的默认值。
token 字符串	Vault 令牌。令牌可以显式指定，也可以通过列出的 [env] 变量以及`VAULT_TOKEN`环境变量指定。如果没有显式提供令牌或通过环境变量提供令牌，则插件将检查令牌文件，该文件由token_path和token_file确定。令牌加载的顺序（先找到先使用）是`token param -> ansible var -> ANSIBLE_HASHI_VAULT_TOKEN -> VAULT_TOKEN -> token file`。
token_file 字符串	如果没有指定令牌，则将尝试从token_path中的此文件中读取令牌。默认值：`".vault-token"`
token_path 字符串	如果没有指定令牌，则将尝试从此路径读取token_file。
token_validate 布尔值在 community.hashi_vault 0.2.0 中添加	对于令牌身份验证，将执行`lookup-self`操作以确定令牌的有效性，然后再使用它。如果您的令牌不具有`lookup-self`功能，请禁用它。选项 `false` ← (默认) `true`
url 字符串	Vault 服务的 URL。如果未通过其他任何方式指定，则将使用`VAULT_ADDR`环境变量的值。如果`VAULT_ADDR`也未定义，则将引发错误。
username 字符串	身份验证用户名。
validate_certs 布尔值	控制 SSL 证书的验证，大多数情况下，只有在使用自签名证书时才需要关闭它。如果设置了`VAULT_SKIP_VERIFY`且未显式提供validate_certs，则将填充`VAULT_SKIP_VERIFY`的反值。如果没有设置validate_certs或`VAULT_SKIP_VERIFY`，则默认为`true`。选项 `false` `true`

属性 

属性	支持	描述
action_group	操作组： community.hashi_vault.vault	在`module_defaults`中使用`group/community.hashi_vault.vault`来设置此模块的默认值。
check_mode	支持：完全支持此模块是“只读”的，无论检查模式如何，其操作方式都相同。	可以在`check_mode`下运行，并在不修改目标的情况下返回更改状态预测。

另请参见 

另请参见

community.hashi_vault.vault_list 查询: community.hashi_vault.vault_list查询插件的官方文档。

示例 

- name: List kv2 secrets from Vault via the remote host with userpass auth
  community.hashi_vault.vault_list:
    url: https://vault:8201
    path: secret/metadata
    # For kv2, the path needs to follow the pattern 'mount_point/metadata' or 'mount_point/metadata/path' to list all secrets in that path
    auth_method: userpass
    username: user
    password: '{{ passwd }}'
  register: secret

- name: Display the secrets found at the path provided above
  ansible.builtin.debug:
    msg: "{{ secret.data.data['keys'] }}"
    # Note that secret.data.data.keys won't work as 'keys' is a built-in method

- name: List access policies from Vault via the remote host
  community.hashi_vault.vault_list:
    url: https://vault:8201
    path: sys/policies/acl
  register: policies

- name: Display the policy names
  ansible.builtin.debug:
    msg: "{{ policies.data.data['keys'] }}"
    # Note that secret.data.data.keys won't work as 'keys' is a built-in method

返回值 

常用的返回值已在此处记录，以下是此模块特有的字段

键	描述
data 字典	针对给定路径列出的原始结果。返回：成功

作者

Tom Kivlin (@tomkivlin)