community.hashi_vault.vault_token_create lookup – 创建 HashiCorp Vault 令牌

注意

此 lookup 插件是 community.hashi_vault 集合（版本 6.2.0）的一部分。

如果您正在使用 ansible 包，则可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用：ansible-galaxy collection install community.hashi_vault。您需要其他要求才能使用此 lookup 插件，有关详细信息，请参见要求。

要在 playbook 中使用它，请指定：community.hashi_vault.vault_token_create。

community.hashi_vault 2.3.0 中的新增功能

要求 

以下要求需要在执行此 lookup 的本地控制节点上满足。

hvac (Python 库)
有关详细的要求，请参见集合要求页面。

术语 

参数	注释
术语字符串	此参数未使用，提供的任何术语都将被忽略。

这描述了 lookup 的关键字参数。这些是在以下示例中 key1=value1、key2=value2 等值：lookup('community.hashi_vault.vault_token_create', key1=value1, key2=value2, ...) 和 query('community.hashi_vault.vault_token_create', key1=value1, key2=value2, ...)

参数	注释
auth_method 字符串	要使用的身份验证方法。在集合版本 `1.2.0` 中添加了 `none` 身份验证方法。在集合版本 `1.4.0` 中添加了 `cert` 身份验证方法。在集合版本 `2.1.0` 中，`aws_iam_login` 被重命名为 `aws_iam`，并在 `3.0.0` 中被移除。在集合版本 `3.2.0` 中添加了 `azure` 身份验证方法。选择 `"token"` ←（默认） `"userpass"` `"ldap"` `"approle"` `"aws_iam"` `"azure"` `"jwt"` `"cert"` `"none"` 配置 INI 条目 [hashi_vault_collection] auth_method = token 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_AUTH_METHOD` 在 community.hashi_vault 0.2.0 中添加变量：ansible_hashi_vault_auth_method 在 community.hashi_vault 1.2.0 中添加
aws_access_key 别名：aws_access_key_id 字符串	要使用的 AWS 访问密钥。配置环境变量：`EC2_ACCESS_KEY` 环境变量：`AWS_ACCESS_KEY` 环境变量：`AWS_ACCESS_KEY_ID`
aws_iam_server_id 字符串在 community.hashi_vault 0.2.0 中添加	如果指定，则将该值设置为 `GetCallerIdentity` 请求的一部分的 `X-Vault-AWS-IAM-Server-ID` 标头的值。配置 INI 条目 [hashi_vault_collection] aws_iam_server_id = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_AWS_IAM_SERVER_ID`
aws_profile 别名：boto_profile 字符串	AWS 配置文件配置环境变量：`AWS_DEFAULT_PROFILE` 环境变量：`AWS_PROFILE`
aws_secret_key 别名：aws_secret_access_key 字符串	与访问密钥对应的 AWS 密钥。配置环境变量：`EC2_SECRET_KEY` 环境变量：`AWS_SECRET_KEY` 环境变量：`AWS_SECRET_ACCESS_KEY`
aws_security_token 字符串	如果使用临时访问密钥和密钥，则为 AWS 安全令牌。配置环境变量：`EC2_SECURITY_TOKEN` 环境变量：`AWS_SESSION_TOKEN` 环境变量：`AWS_SECURITY_TOKEN`
azure_client_id 字符串在 community.hashi_vault 3.2.0 中添加	Azure AD 服务主体或托管标识的客户端 ID（也称为应用程序 ID）。应为 UUID。如果未指定，将使用系统分配的托管标识。配置 INI 条目 [hashi_vault_collection] azure_client_id = VALUE 环境变量：`ANSIBLE_HASHI_VAULT_AZURE_CLIENT_ID` 变量：ansible_hashi_vault_azure_client_id
azure_client_secret 字符串在 community.hashi_vault 3.2.0 中添加	Azure AD 服务主体的客户端密钥。配置环境变量：`ANSIBLE_HASHI_VAULT_AZURE_CLIENT_SECRET` 变量：ansible_hashi_vault_azure_client_secret
azure_resource 字符串在 community.hashi_vault 3.2.0 中添加	在 Azure Active Directory 中注册的应用程序的资源 URL。通常不应更改为默认值。默认值： `"https://management.azure.com/"` 配置 INI 条目 [hashi_vault_collection] azure_resource = https://management.azure.com/ 环境变量：`ANSIBLE_HASHI_VAULT_AZURE_RESOURCE` 变量：ansible_hashi_vault_azure_resource
azure_tenant_id 字符串在 community.hashi_vault 3.2.0 中添加	服务主体的 Azure Active Directory 租户 ID（也称为目录 ID）。应为 UUID。当使用服务主体向 Vault 进行身份验证时是必需的，例如，当同时指定了 azure_client_id 和 azure_client_secret 时是必需的。当使用托管标识向 Vault 进行身份验证时是可选的。配置 INI 条目 [hashi_vault_collection] azure_tenant_id = VALUE 环境变量：`ANSIBLE_HASHI_VAULT_AZURE_TENANT_ID` 变量：ansible_hashi_vault_azure_tenant_id
ca_cert 别名：cacert 字符串	用于身份验证的证书路径。如果未通过任何其他方式指定，将使用 `VAULT_CACERT` 环境变量。配置 INI 条目 [hashi_vault_collection] ca_cert = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_CA_CERT` 在 community.hashi_vault 1.2.0 中添加变量：ansible_hashi_vault_ca_cert 在 community.hashi_vault 1.2.0 中添加
cert_auth_private_key 路径在 community.hashi_vault 1.4.0 中添加	对于 `cert` 身份验证，要使用的私钥文件的路径，格式为 PEM。配置 INI 条目 [hashi_vault_collection] cert_auth_private_key = VALUE 环境变量：`ANSIBLE_HASHI_VAULT_CERT_AUTH_PRIVATE_KEY` 变量：ansible_hashi_vault_cert_auth_private_key 在 community.hashi_vault 6.2.0 中添加
cert_auth_public_key 路径在 community.hashi_vault 1.4.0 中添加	对于 `cert` 身份验证，要使用的证书文件的路径，格式为 PEM。配置 INI 条目 [hashi_vault_collection] cert_auth_public_key = VALUE 环境变量：`ANSIBLE_HASHI_VAULT_CERT_AUTH_PUBLIC_KEY` 变量：ansible_hashi_vault_cert_auth_public_key 在 community.hashi_vault 6.2.0 中添加
display_name 字符串	令牌的显示名称。
entity_alias 字符串	在令牌创建期间要关联的实体别名的名称。仅与 role_name 选项结合使用，并且使用的实体别名必须在 `allowed_entity_aliases` 中列出。如果已指定此项，则实体将不会从父实体继承。
explicit_max_ttl 字符串	如果设置，令牌将设置显式的最大 TTL。此最大令牌 TTL 之后无法更改，并且与普通令牌不同，对系统/挂载最大 TTL 值的更新在续订时无效。令牌将永远无法续订或使用超过发行时设置的值。
id 字符串	客户端令牌的 ID。只能由根令牌指定。提供的 ID 不得包含 `.` 字符。否则，令牌 ID 是随机生成的值。
jwt 字符串	用于对 Vault 进行 JWT 身份验证的 JSON Web 令牌 (JWT)。配置环境变量：`ANSIBLE_HASHI_VAULT_JWT`
meta 字典	一个字符串到字符串值元数据的字典。这将传递到审计设备。
mount_point 字符串	Vault 挂载点。如果未指定，则使用给定身份验证方法的默认挂载点。不适用于令牌身份验证。配置 INI 条目 [hashi_vault_collection] mount_point = VALUE 在 community.hashi_vault 1.5.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_MOUNT_POINT` 在 community.hashi_vault 1.5.0 中添加变量：ansible_hashi_vault_mount_point 在 community.hashi_vault 1.5.0 中添加
namespace 字符串	Vault 命名空间，其中驻留着机密。此选项需要 HVAC 0.7.0+ 和 Vault 0.11+。或者，可以通过使用命名空间前缀身份验证挂载点和/或机密路径来实现此目的（例如，`mynamespace/secret/mysecret`）。如果设置了环境变量 `VAULT_NAMESPACE`，其值将是所有指定 namespace 的方式中最后使用的值。配置 INI 条目 [hashi_vault_collection] namespace = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_NAMESPACE` 在 community.hashi_vault 0.2.0 中添加变量：ansible_hashi_vault_namespace 在 community.hashi_vault 1.2.0 中添加
no_default_policy 布尔值	如果为 `true`，则默认策略不会包含在此令牌的策略集中。如果令牌将与此集合一起使用，请设置 token_validate=false。选择 `false` `true`
no_parent 布尔值	仅当 `root` 或 `sudo` 调用者使用且仅当 orphan=false 时，此选项才有效。当为 `true` 时，创建的令牌将没有父级。选择 `false` `true`
num_uses 整数	给定令牌的最大使用次数。这可以用于创建一次性令牌或有限使用令牌。 `0` 的值对使用次数没有限制。
orphan 布尔值	当为 `true` 时，使用 `/create-orphan` API 端点，这需要 `sudo`（但不是 `root`）来创建孤立令牌。对于 `hvac>=1.0.0`，需要集合版本 `>=3.3.0`。选择 `false` ← （默认值） `true`
password 字符串	身份验证密码。配置环境变量: `ANSIBLE_HASHI_VAULT_PASSWORD` 在 community.hashi_vault 1.2.0 中添加变量: ansible_hashi_vault_password 在 community.hashi_vault 1.2.0 中添加
周期字符串	如果指定，令牌将是周期性的。它将没有最大 TTL（除非也设置了 explicit_max_ttl），但每次续订都将使用给定的周期。需要根令牌或具有 `sudo` 功能的令牌。
策略列表 / 元素=字符串	令牌的策略列表。这必须是请求令牌的策略的子集，除非是根用户。如果未指定，则默认为调用令牌的所有策略。
代理任意在 community.hashi_vault 1.1.0 中添加	用于访问 Vault 服务的代理的 URL。它可以是字符串或字典。如果是字典，请将方案（例如 `http` 或 `https`）作为键，并将 URL 作为值。如果它是字符串，请提供一个将用作 `http` 和 `https` 方案的代理的 URL。可以解释为字典的字符串将被转换为字典（请参阅示例）。您可以为 HTTP 和 HTTPS 资源指定不同的代理。如果未指定，则使用Requests 库中的环境变量。配置 INI 条目 [hashi_vault_collection] proxies = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_PROXIES` 变量: ansible_hashi_vault_proxies 在 community.hashi_vault 1.2.0 中添加
区域字符串	创建连接的 AWS 区域。配置环境变量：`EC2_REGION` 环境变量：`AWS_REGION`
可续订布尔值	设置为 `false` 以禁用令牌在其初始 TTL 之后续订的能力。将值设置为 `true` 将允许令牌续订到系统/挂载的最大 TTL。选择 `false` `true`
重试任意在 community.hashi_vault 1.3.0 中添加	允许基于 urllib3 库中的 Retry 类在错误时重试。此集合为 Vault 连接的重试定义了建议的默认值。此选项可以指定为正数（整数）或字典。如果未指定此选项或数字为 `0`，则禁用重试。数字设置重试的总次数，并对其他设置使用集合默认值。字典值直接用于初始化 `Retry` 类，因此可用于完全自定义重试。有关重试的详细信息，请参阅集合用户指南。配置 INI 条目 [hashi_vault_collection] retries = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_RETRIES` 变量: ansible_hashi_vault_retries
重试操作字符串在 community.hashi_vault 1.3.0 中添加	控制是否以及如何显示关于重试的消息。如果未重试请求，则此操作无效。选择 `"忽略"` `"警告"` ← (默认) 配置 INI 条目 [hashi_vault_collection] retry_action = warn 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_RETRY_ACTION` 变量: ansible_hashi_vault_retry_action
角色 ID 字符串	Vault 角色 ID 或名称。用于 `approle`、`aws_iam`、`azure` 和 `cert` 身份验证方法。对于 `cert` 身份验证，如果未提供 role_id，则默认行为是尝试所有证书角色并返回任何匹配的角色。对于 `azure` 身份验证，需要 role_id。配置 INI 条目 [hashi_vault_collection] role_id = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_ROLE_ID` 在 community.hashi_vault 0.2.0 中添加变量: ansible_hashi_vault_role_id 在 community.hashi_vault 1.2.0 中添加
角色名称字符串	令牌角色的名称。如果使用，令牌将根据指定的角色名称创建，这可能会覆盖在此调用期间设置的选项。
密钥 ID 字符串	用于 Vault AppRole 身份验证的密钥 ID。配置环境变量：`ANSIBLE_HASHI_VAULT_SECRET_ID` 在 community.hashi_vault 0.2.0 中添加变量: ansible_hashi_vault_secret_id 在 community.hashi_vault 1.2.0 中添加
超时整数在 community.hashi_vault 1.3.0 中添加	设置连接超时（以秒为单位）。如果未设置，则使用 `hvac` 库的默认值。配置 INI 条目 [hashi_vault_collection] timeout = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_TIMEOUT` 变量: ansible_hashi_vault_timeout
令牌字符串	Vault 令牌。可以通过列出的 [env] 变量以及 `VAULT_TOKEN` 环境变量显式指定令牌。如果未显式或通过环境变量提供任何令牌，则插件将检查令牌文件，如 token_path 和 token_file 所确定。令牌加载顺序（先找到的获胜）是 `令牌参数 -> ansible 变量 -> ANSIBLE_HASHI_VAULT_TOKEN -> VAULT_TOKEN -> 令牌文件`。配置环境变量：`ANSIBLE_HASHI_VAULT_TOKEN` 在 community.hashi_vault 0.2.0 中添加变量: ansible_hashi_vault_token 在 community.hashi_vault 1.2.0 中添加
令牌文件字符串	如果未指定令牌，则会尝试从 token_path 中的此文件中读取令牌。默认值： `".vault-token"` 配置 INI 条目 [hashi_vault_collection] token_file = .vault-token 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_TOKEN_FILE` 在 community.hashi_vault 0.2.0 中添加变量: ansible_hashi_vault_token_file 在 community.hashi_vault 1.2.0 中添加
令牌路径字符串	如果未指定令牌，则会尝试从此路径读取 token_file。配置 INI 条目 [hashi_vault_collection] token_path = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_TOKEN_PATH` 在 community.hashi_vault 0.2.0 中添加变量: ansible_hashi_vault_token_path 在 community.hashi_vault 1.2.0 中添加
令牌验证布尔值在 community.hashi_vault 0.2.0 中添加	对于令牌身份验证，将执行 `lookup-self` 操作，以在使用令牌之前确定令牌的有效性。如果您的令牌不具备 `lookup-self` 功能，请禁用此选项。选择 `false` ← （默认值） `true` 配置 INI 条目 [hashi_vault_collection] token_validate = false 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_TOKEN_VALIDATE` 变量: ansible_hashi_vault_token_validate 在 community.hashi_vault 1.2.0 中添加
ttl 字符串	令牌的 TTL 周期，例如以 `1h` 形式提供，其中小时是最大的后缀。如果未提供，则令牌对于默认租期 TTL 有效，如果使用根策略，则令牌将无限期有效。
类型字符串	令牌类型。默认值由 role_name 指定的角色配置确定。选择 `"批量"` `"服务"`
url 字符串	Vault 服务的 URL。如果未通过任何其他方式指定，则将使用 `VAULT_ADDR` 环境变量的值。如果也未定义 `VAULT_ADDR`，则将引发错误。配置 INI 条目 [hashi_vault_collection] url = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_ADDR` 在 community.hashi_vault 0.2.0 中添加变量: ansible_hashi_vault_url 在 community.hashi_vault 1.2.0 中添加变量: ansible_hashi_vault_addr 在 community.hashi_vault 1.2.0 中添加
用户名字符串	身份验证用户名。配置环境变量：`ANSIBLE_HASHI_VAULT_USERNAME` 在 community.hashi_vault 1.2.0 中添加变量: ansible_hashi_vault_username 在 community.hashi_vault 1.2.0 中添加
验证证书布尔值	控制 SSL 证书的验证，大多数情况下您只想在自签名证书的情况下关闭此选项。如果设置了 `VAULT_SKIP_VERIFY` 且未显式提供 validate_certs，则将使用 `VAULT_SKIP_VERIFY` 的反向值填充。如果未设置 validate_certs 或 `VAULT_SKIP_VERIFY`，则默认为 `true`。选择 `false` `true` 配置变量: ansible_hashi_vault_validate_certs 在 community.hashi_vault 1.2.0 中添加
包装 TTL 字符串	指定使用持续时间包装令牌创建的响应。例如 `15s`、`20m`、`25h`。配置变量: ansible_hashi_vault_wrap_ttl

注意 

注意

当关键字参数和位置参数一起使用时，位置参数必须在关键字参数之前列出：lookup('community.hashi_vault.vault_token_create', term1, term2, key1=value1, key2=value2) 和 query('community.hashi_vault.vault_token_create', term1, term2, key1=value1, key2=value2)
令牌创建是一个写入操作（创建持久化到存储的令牌），因此此模块始终报告 changed=True。
但是，对于 Ansible 剧本，如果您针对目标系统进行幂等性检查，则将 changed_when=false 设置为更有用。
在检查模式下，此模块不会创建令牌，而是会返回一个带有空令牌的基本结构。但是，如果后续任务需要令牌，则这可能没有用。最好使用此模块并设置 check_mode=false 以获得可用的有效令牌。

另请参阅 

另请参阅

community.hashi_vault.vault_token_create: 创建 HashiCorp Vault 令牌。
community.hashi_vault.vault_login 查找: community.hashi_vault.vault_login 查找插件的官方文档。
community.hashi_vault.vault_login: 针对 HashiCorp Vault 执行登录操作。
community.hashi_vault.vault_login_token 过滤器: community.hashi_vault.vault_login_token 过滤器插件的官方文档。

示例 

- name: Login via userpass and create a child token
  ansible.builtin.set_fact:
    token_data: "{{ lookup('community.hashi_vault.vault_token_create', url='https://vault', auth_method='userpass', username=user, password=passwd) }}"

- name: Retrieve an approle role ID using the child token (token via filter)
  community.hashi_vault.vault_read:
    url: https://vault:8201
    auth_method: token
    token: '{{ token_data | community.hashi_vault.vault_login_token }}'
    path: auth/approle/role/role-name/role-id
  register: approle_id

- name: Retrieve an approle role ID (token via direct dict access)
  community.hashi_vault.vault_read:
    url: https://vault:8201
    auth_method: token
    token: '{{ token_data.auth.client_token }}'
    path: auth/approle/role/role-name/role-id
  register: approle_id

# implicitly uses url & token auth with a token from the environment
- name: Create an orphaned token with a short TTL and display the full response
  ansible.builtin.debug:
    var: lookup('community.hashi_vault.vault_token_create', orphan=True, ttl='60s')

返回值 

键	描述
返回值字典	令牌创建操作的结果。返回: 成功示例: `{"auth": {"client_token": "s.rlwajI2bblHAWU7uPqZhLru3"}, "data": null}`
auth 字典	令牌响应的 `auth` 成员。返回: 成功
client_token 字符串	包含新创建的令牌。返回: 成功
data 字典	令牌响应的 `data` 成员。返回: 成功，当可用时

作者

Brian Scholer (@briantist)

提示

每个条目类型的配置条目都有一个从低到高的优先级顺序。例如，列表中较低的变量将覆盖较高的变量。

参数	注释
auth_method 字符串	要使用的身份验证方法。在集合版本 `1.2.0` 中添加了 `none` 身份验证方法。在集合版本 `1.4.0` 中添加了 `cert` 身份验证方法。在集合版本 `2.1.0` 中，`aws_iam_login` 被重命名为 `aws_iam`，并在 `3.0.0` 中被移除。在集合版本 `3.2.0` 中添加了 `azure` 身份验证方法。选择 `"token"` ←（默认） `"userpass"` `"ldap"` `"approle"` `"aws_iam"` `"azure"` `"jwt"` `"cert"` `"none"` 配置 INI 条目 [hashi_vault_collection] auth_method = token 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_AUTH_METHOD` 在 community.hashi_vault 0.2.0 中添加变量：ansible_hashi_vault_auth_method 在 community.hashi_vault 1.2.0 中添加
aws_access_key 别名：aws_access_key_id 字符串	要使用的 AWS 访问密钥。配置环境变量：`EC2_ACCESS_KEY` 环境变量：`AWS_ACCESS_KEY` 环境变量：`AWS_ACCESS_KEY_ID`
aws_iam_server_id 字符串在 community.hashi_vault 0.2.0 中添加	如果指定，则将该值设置为 `GetCallerIdentity` 请求的一部分的 `X-Vault-AWS-IAM-Server-ID` 标头的值。配置 INI 条目 [hashi_vault_collection] aws_iam_server_id = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_AWS_IAM_SERVER_ID`
aws_profile 别名：boto_profile 字符串	AWS 配置文件配置环境变量：`AWS_DEFAULT_PROFILE` 环境变量：`AWS_PROFILE`
aws_secret_key 别名：aws_secret_access_key 字符串	与访问密钥对应的 AWS 密钥。配置环境变量：`EC2_SECRET_KEY` 环境变量：`AWS_SECRET_KEY` 环境变量：`AWS_SECRET_ACCESS_KEY`
aws_security_token 字符串	如果使用临时访问密钥和密钥，则为 AWS 安全令牌。配置环境变量：`EC2_SECURITY_TOKEN` 环境变量：`AWS_SESSION_TOKEN` 环境变量：`AWS_SECURITY_TOKEN`
azure_client_id 字符串在 community.hashi_vault 3.2.0 中添加	Azure AD 服务主体或托管标识的客户端 ID（也称为应用程序 ID）。应为 UUID。如果未指定，将使用系统分配的托管标识。配置 INI 条目 [hashi_vault_collection] azure_client_id = VALUE 环境变量：`ANSIBLE_HASHI_VAULT_AZURE_CLIENT_ID` 变量：ansible_hashi_vault_azure_client_id
azure_client_secret 字符串在 community.hashi_vault 3.2.0 中添加	Azure AD 服务主体的客户端密钥。配置环境变量：`ANSIBLE_HASHI_VAULT_AZURE_CLIENT_SECRET` 变量：ansible_hashi_vault_azure_client_secret
azure_resource 字符串在 community.hashi_vault 3.2.0 中添加	在 Azure Active Directory 中注册的应用程序的资源 URL。通常不应更改为默认值。默认值： `"https://management.azure.com/"` 配置 INI 条目 [hashi_vault_collection] azure_resource = https://management.azure.com/ 环境变量：`ANSIBLE_HASHI_VAULT_AZURE_RESOURCE` 变量：ansible_hashi_vault_azure_resource
azure_tenant_id 字符串在 community.hashi_vault 3.2.0 中添加	服务主体的 Azure Active Directory 租户 ID（也称为目录 ID）。应为 UUID。当使用服务主体向 Vault 进行身份验证时是必需的，例如，当同时指定了 azure_client_id 和 azure_client_secret 时是必需的。当使用托管标识向 Vault 进行身份验证时是可选的。配置 INI 条目 [hashi_vault_collection] azure_tenant_id = VALUE 环境变量：`ANSIBLE_HASHI_VAULT_AZURE_TENANT_ID` 变量：ansible_hashi_vault_azure_tenant_id
ca_cert 别名：cacert 字符串	用于身份验证的证书路径。如果未通过任何其他方式指定，将使用 `VAULT_CACERT` 环境变量。配置 INI 条目 [hashi_vault_collection] ca_cert = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_CA_CERT` 在 community.hashi_vault 1.2.0 中添加变量：ansible_hashi_vault_ca_cert 在 community.hashi_vault 1.2.0 中添加
cert_auth_private_key 路径在 community.hashi_vault 1.4.0 中添加	对于 `cert` 身份验证，要使用的私钥文件的路径，格式为 PEM。配置 INI 条目 [hashi_vault_collection] cert_auth_private_key = VALUE 环境变量：`ANSIBLE_HASHI_VAULT_CERT_AUTH_PRIVATE_KEY` 变量：ansible_hashi_vault_cert_auth_private_key 在 community.hashi_vault 6.2.0 中添加
cert_auth_public_key 路径在 community.hashi_vault 1.4.0 中添加	对于 `cert` 身份验证，要使用的证书文件的路径，格式为 PEM。配置 INI 条目 [hashi_vault_collection] cert_auth_public_key = VALUE 环境变量：`ANSIBLE_HASHI_VAULT_CERT_AUTH_PUBLIC_KEY` 变量：ansible_hashi_vault_cert_auth_public_key 在 community.hashi_vault 6.2.0 中添加
display_name 字符串	令牌的显示名称。
entity_alias 字符串	在令牌创建期间要关联的实体别名的名称。仅与 role_name 选项结合使用，并且使用的实体别名必须在 `allowed_entity_aliases` 中列出。如果已指定此项，则实体将不会从父实体继承。
explicit_max_ttl 字符串	如果设置，令牌将设置显式的最大 TTL。此最大令牌 TTL 之后无法更改，并且与普通令牌不同，对系统/挂载最大 TTL 值的更新在续订时无效。令牌将永远无法续订或使用超过发行时设置的值。
id 字符串	客户端令牌的 ID。只能由根令牌指定。提供的 ID 不得包含 `.` 字符。否则，令牌 ID 是随机生成的值。
jwt 字符串	用于对 Vault 进行 JWT 身份验证的 JSON Web 令牌 (JWT)。配置环境变量：`ANSIBLE_HASHI_VAULT_JWT`
meta 字典	一个字符串到字符串值元数据的字典。这将传递到审计设备。
mount_point 字符串	Vault 挂载点。如果未指定，则使用给定身份验证方法的默认挂载点。不适用于令牌身份验证。配置 INI 条目 [hashi_vault_collection] mount_point = VALUE 在 community.hashi_vault 1.5.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_MOUNT_POINT` 在 community.hashi_vault 1.5.0 中添加变量：ansible_hashi_vault_mount_point 在 community.hashi_vault 1.5.0 中添加
namespace 字符串	Vault 命名空间，其中驻留着机密。此选项需要 HVAC 0.7.0+ 和 Vault 0.11+。或者，可以通过使用命名空间前缀身份验证挂载点和/或机密路径来实现此目的（例如，`mynamespace/secret/mysecret`）。如果设置了环境变量 `VAULT_NAMESPACE`，其值将是所有指定 namespace 的方式中最后使用的值。配置 INI 条目 [hashi_vault_collection] namespace = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_NAMESPACE` 在 community.hashi_vault 0.2.0 中添加变量：ansible_hashi_vault_namespace 在 community.hashi_vault 1.2.0 中添加
no_default_policy 布尔值	如果为 `true`，则默认策略不会包含在此令牌的策略集中。如果令牌将与此集合一起使用，请设置 token_validate=false。选择 `false` `true`
no_parent 布尔值	仅当 `root` 或 `sudo` 调用者使用且仅当 orphan=false 时，此选项才有效。当为 `true` 时，创建的令牌将没有父级。选择 `false` `true`
num_uses 整数	给定令牌的最大使用次数。这可以用于创建一次性令牌或有限使用令牌。 `0` 的值对使用次数没有限制。
orphan 布尔值	当为 `true` 时，使用 `/create-orphan` API 端点，这需要 `sudo`（但不是 `root`）来创建孤立令牌。对于 `hvac>=1.0.0`，需要集合版本 `>=3.3.0`。选择 `false` ← （默认值） `true`
password 字符串	身份验证密码。配置环境变量: `ANSIBLE_HASHI_VAULT_PASSWORD` 在 community.hashi_vault 1.2.0 中添加变量: ansible_hashi_vault_password 在 community.hashi_vault 1.2.0 中添加
周期字符串	如果指定，令牌将是周期性的。它将没有最大 TTL（除非也设置了 explicit_max_ttl），但每次续订都将使用给定的周期。需要根令牌或具有 `sudo` 功能的令牌。
策略列表 / 元素=字符串	令牌的策略列表。这必须是请求令牌的策略的子集，除非是根用户。如果未指定，则默认为调用令牌的所有策略。
代理任意在 community.hashi_vault 1.1.0 中添加	用于访问 Vault 服务的代理的 URL。它可以是字符串或字典。如果是字典，请将方案（例如 `http` 或 `https`）作为键，并将 URL 作为值。如果它是字符串，请提供一个将用作 `http` 和 `https` 方案的代理的 URL。可以解释为字典的字符串将被转换为字典（请参阅示例）。您可以为 HTTP 和 HTTPS 资源指定不同的代理。如果未指定，则使用Requests 库中的环境变量。配置 INI 条目 [hashi_vault_collection] proxies = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_PROXIES` 变量: ansible_hashi_vault_proxies 在 community.hashi_vault 1.2.0 中添加
区域字符串	创建连接的 AWS 区域。配置环境变量：`EC2_REGION` 环境变量：`AWS_REGION`
可续订布尔值	设置为 `false` 以禁用令牌在其初始 TTL 之后续订的能力。将值设置为 `true` 将允许令牌续订到系统/挂载的最大 TTL。选择 `false` `true`
重试任意在 community.hashi_vault 1.3.0 中添加	允许基于 urllib3 库中的 Retry 类在错误时重试。此集合为 Vault 连接的重试定义了建议的默认值。此选项可以指定为正数（整数）或字典。如果未指定此选项或数字为 `0`，则禁用重试。数字设置重试的总次数，并对其他设置使用集合默认值。字典值直接用于初始化 `Retry` 类，因此可用于完全自定义重试。有关重试的详细信息，请参阅集合用户指南。配置 INI 条目 [hashi_vault_collection] retries = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_RETRIES` 变量: ansible_hashi_vault_retries
重试操作字符串在 community.hashi_vault 1.3.0 中添加	控制是否以及如何显示关于重试的消息。如果未重试请求，则此操作无效。选择 `"忽略"` `"警告"` ← (默认) 配置 INI 条目 [hashi_vault_collection] retry_action = warn 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_RETRY_ACTION` 变量: ansible_hashi_vault_retry_action
角色 ID 字符串	Vault 角色 ID 或名称。用于 `approle`、`aws_iam`、`azure` 和 `cert` 身份验证方法。对于 `cert` 身份验证，如果未提供 role_id，则默认行为是尝试所有证书角色并返回任何匹配的角色。对于 `azure` 身份验证，需要 role_id。配置 INI 条目 [hashi_vault_collection] role_id = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_ROLE_ID` 在 community.hashi_vault 0.2.0 中添加变量: ansible_hashi_vault_role_id 在 community.hashi_vault 1.2.0 中添加
角色名称字符串	令牌角色的名称。如果使用，令牌将根据指定的角色名称创建，这可能会覆盖在此调用期间设置的选项。
密钥 ID 字符串	用于 Vault AppRole 身份验证的密钥 ID。配置环境变量：`ANSIBLE_HASHI_VAULT_SECRET_ID` 在 community.hashi_vault 0.2.0 中添加变量: ansible_hashi_vault_secret_id 在 community.hashi_vault 1.2.0 中添加
超时整数在 community.hashi_vault 1.3.0 中添加	设置连接超时（以秒为单位）。如果未设置，则使用 `hvac` 库的默认值。配置 INI 条目 [hashi_vault_collection] timeout = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_TIMEOUT` 变量: ansible_hashi_vault_timeout
令牌字符串	Vault 令牌。可以通过列出的 [env] 变量以及 `VAULT_TOKEN` 环境变量显式指定令牌。如果未显式或通过环境变量提供任何令牌，则插件将检查令牌文件，如 token_path 和 token_file 所确定。令牌加载顺序（先找到的获胜）是 `令牌参数 -> ansible 变量 -> ANSIBLE_HASHI_VAULT_TOKEN -> VAULT_TOKEN -> 令牌文件`。配置环境变量：`ANSIBLE_HASHI_VAULT_TOKEN` 在 community.hashi_vault 0.2.0 中添加变量: ansible_hashi_vault_token 在 community.hashi_vault 1.2.0 中添加
令牌文件字符串	如果未指定令牌，则会尝试从 token_path 中的此文件中读取令牌。默认值： `".vault-token"` 配置 INI 条目 [hashi_vault_collection] token_file = .vault-token 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_TOKEN_FILE` 在 community.hashi_vault 0.2.0 中添加变量: ansible_hashi_vault_token_file 在 community.hashi_vault 1.2.0 中添加
令牌路径字符串	如果未指定令牌，则会尝试从此路径读取 token_file。配置 INI 条目 [hashi_vault_collection] token_path = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_TOKEN_PATH` 在 community.hashi_vault 0.2.0 中添加变量: ansible_hashi_vault_token_path 在 community.hashi_vault 1.2.0 中添加
令牌验证布尔值在 community.hashi_vault 0.2.0 中添加	对于令牌身份验证，将执行 `lookup-self` 操作，以在使用令牌之前确定令牌的有效性。如果您的令牌不具备 `lookup-self` 功能，请禁用此选项。选择 `false` ← （默认值） `true` 配置 INI 条目 [hashi_vault_collection] token_validate = false 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_TOKEN_VALIDATE` 变量: ansible_hashi_vault_token_validate 在 community.hashi_vault 1.2.0 中添加
ttl 字符串	令牌的 TTL 周期，例如以 `1h` 形式提供，其中小时是最大的后缀。如果未提供，则令牌对于默认租期 TTL 有效，如果使用根策略，则令牌将无限期有效。
类型字符串	令牌类型。默认值由 role_name 指定的角色配置确定。选择 `"批量"` `"服务"`
url 字符串	Vault 服务的 URL。如果未通过任何其他方式指定，则将使用 `VAULT_ADDR` 环境变量的值。如果也未定义 `VAULT_ADDR`，则将引发错误。配置 INI 条目 [hashi_vault_collection] url = VALUE 在 community.hashi_vault 1.4.0 中添加环境变量：`ANSIBLE_HASHI_VAULT_ADDR` 在 community.hashi_vault 0.2.0 中添加变量: ansible_hashi_vault_url 在 community.hashi_vault 1.2.0 中添加变量: ansible_hashi_vault_addr 在 community.hashi_vault 1.2.0 中添加
用户名字符串	身份验证用户名。配置环境变量：`ANSIBLE_HASHI_VAULT_USERNAME` 在 community.hashi_vault 1.2.0 中添加变量: ansible_hashi_vault_username 在 community.hashi_vault 1.2.0 中添加
验证证书布尔值	控制 SSL 证书的验证，大多数情况下您只想在自签名证书的情况下关闭此选项。如果设置了 `VAULT_SKIP_VERIFY` 且未显式提供 validate_certs，则将使用 `VAULT_SKIP_VERIFY` 的反向值填充。如果未设置 validate_certs 或 `VAULT_SKIP_VERIFY`，则默认为 `true`。选择 `false` `true` 配置变量: ansible_hashi_vault_validate_certs 在 community.hashi_vault 1.2.0 中添加
包装 TTL 字符串	指定使用持续时间包装令牌创建的响应。例如 `15s`、`20m`、`25h`。配置变量: ansible_hashi_vault_wrap_ttl

community.hashi_vault.vault_token_create lookup – 创建 HashiCorp Vault 令牌

概要 

要求 

术语 

关键字参数 

注意 

另请参阅 

示例 

返回值 

作者

集合链接