community.hashi_vault.vault_login 查找 – 对 HashiCorp Vault 执行登录操作
注意
此查找插件是 community.hashi_vault 集合(版本 6.2.0)的一部分。
如果您正在使用 ansible 包,您可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用:ansible-galaxy collection install community.hashi_vault。您需要进一步的要求才能使用此查找插件,有关详细信息,请参阅 要求。
要在 playbook 中使用它,请指定:community.hashi_vault.vault_login。
community.hashi_vault 2.2.0 中的新增功能
概要
对 HashiCorp Vault 中给定路径执行登录操作,返回登录响应,包括令牌。
要求
在执行此查找的本地控制器节点上需要以下要求。
术语
参数 |
注释 |
|---|---|
此项未使用,提供的任何术语都将被忽略。 |
关键字参数
这描述了查找的关键字参数。这些是以下示例中的值 key1=value1、key2=value2 等:lookup('community.hashi_vault.vault_login', key1=value1, key2=value2, ...) 和 query('community.hashi_vault.vault_login', key1=value1, key2=value2, ...)
参数 |
注释 |
|---|---|
要使用的身份验证方法。
选项
配置
|
|
如果指定,则将值设置为用于 配置
|
|
如果使用临时访问密钥和私钥,则为 AWS 安全令牌。 配置
|
|
Azure AD 服务主体或托管标识的客户端 ID(也称为应用程序 ID)。应为 UUID。 如果未指定,将使用系统分配的托管标识。 配置
|
|
Azure AD 服务主体的客户端密钥。 配置
|
|
在 Azure Active Directory 中注册的应用程序的资源 URL。通常不应更改默认值。 默认值: 配置
|
|
服务主体的 Azure Active Directory 租户 ID(也称为目录 ID)。应为 UUID。 当使用服务主体向 Vault 进行身份验证时是必需的,例如,当同时指定了 *azure_client_id* 和 *azure_client_secret* 时是必需的。 当使用托管标识向 Vault 进行身份验证时是可选的。 配置
|
|
用于身份验证的证书的路径。 如果未通过任何其他方式指定,将使用 配置
|
|
对于 配置
|
|
对于 配置
|
|
Vault 挂载点。 如果未指定,则使用给定身份验证方法的默认挂载点。 不适用于令牌身份验证。 配置
|
|
机密所在的 Vault 命名空间。此选项需要 HVAC 0.7.0+ 和 Vault 0.11+。 或者,可以通过在身份验证挂载点和/或机密路径前加上命名空间来实现此目的(例如 如果设置了环境变量 配置
|
|
身份验证密码。 配置
|
|
用于访问 Vault 服务的代理 URL。 它可以是字符串或字典。 如果是字典,请提供方案(例如 如果是字符串,请提供将用作 可以解释为字典的字符串将被转换为字典(请参见示例)。 您可以为 HTTP 和 HTTPS 资源指定不同的代理。 如果未指定,则使用Requests 库中的环境变量。 配置
|
|
允许根据 urllib3 库中的 Retry 类在错误时进行重试。 此集合定义了重试与 Vault 连接的建议默认值。 此选项可以指定为正数(整数)或字典。 如果未指定此选项或该数字为 一个数字设置重试的总次数,并为其他设置使用集合默认值。 字典值直接用于初始化 有关重试的详细信息,请参阅集合用户指南。 配置
|
|
控制是否以及如何在 *retries* 上显示消息。 如果未重试请求,则此操作无效。 选项
配置
|
|
Vault 角色 ID 或名称。用于 对于 对于 配置
|
|
用于 Vault AppRole 身份验证的机密 ID。 配置
|
|
设置连接超时时间(以秒为单位)。 如果未设置,则使用 配置
|
|
Vault 令牌。可以通过列出的 [env] 变量以及 如果没有显式或通过环境变量提供令牌,则插件将检查令牌文件,具体取决于 *token_path* 和 *token_file*。 令牌加载的顺序(先找到的优先)是 配置
|
|
如果没有指定令牌,将尝试从token_path中的此文件中读取令牌。 默认值: 配置
|
|
如果没有指定令牌,将尝试从此路径读取token_file。 配置
|
|
对于令牌认证,将执行 如果您的令牌没有 选项
配置
|
|
Vault 服务的 URL。 如果未通过任何其他方式指定,将使用 如果 配置
|
|
身份验证用户名。 配置
|
|
控制 SSL 证书的验证,通常只在自签名证书的情况下才需要关闭。 如果设置了 如果未设置 validate_certs 或 选项
配置
|
说明
注意
当关键字参数和位置参数一起使用时,位置参数必须列在关键字参数之前:
lookup('community.hashi_vault.vault_login', term1, term2, key1=value1, key2=value2)和query('community.hashi_vault.vault_login', term1, term2, key1=value1, key2=value2)此查找不使用 term 字符串,并且在循环中无法正常工作。只会返回单个响应。
登录是一个写入操作(创建一个持久化到存储的令牌),因此除了使用
token认证之外,此模块始终报告changed=True,因为在这种情况下不会创建新令牌。但是,对于 Ansible playbook,如果针对目标系统执行幂等性检查,则设置changed_when=false可能更有用。none认证方法对此插件无效,因为没有响应返回。使用
token认证时,不会执行实际的登录。相反,给定的令牌的其他信息将以类似于登录响应的结构返回。只有当 token_validate=True 时,
token认证方法才会返回完整信息。如果令牌没有lookup-self功能,则此操作将失败。如果 token_validate=False,则只会在结构中返回令牌值本身。
另请参阅
另请参阅
- community.hashi_vault.vault_login
对 HashiCorp Vault 执行登录操作。
- community.hashi_vault.vault_login_token 过滤器
community.hashi_vault.vault_login_token过滤器插件的官方文档。
示例
- name: Set a fact with a lookup result
set_fact:
login_data: "{{ lookup('community.hashi_vault.vault_login', url='https://vault', auth_method='userpass', username=user, password=pwd) }}"
- name: Retrieve an approle role ID (token via filter)
community.hashi_vault.vault_read:
url: https://vault:8201
auth_method: token
token: '{{ login_data | community.hashi_vault.vault_login_token }}'
path: auth/approle/role/role-name/role-id
register: approle_id
- name: Retrieve an approle role ID (token via direct dict access)
community.hashi_vault.vault_read:
url: https://vault:8201
auth_method: token
token: '{{ login_data.auth.client_token }}'
path: auth/approle/role/role-name/role-id
register: approle_id
返回值
键 |
描述 |
|---|---|
使用给定认证方法登录的结果。 返回: 成功 |
|
登录响应的 返回: 成功 |
|
包含登录操作提供的令牌(或当 auth_method=token 时的输入令牌)。 返回: 成功 |
|
登录响应的 返回: 成功,如果可用 |