google.cloud.gcp_kms_crypto_key 模块 – 创建 GCP CryptoKey
注意
此模块是 google.cloud 集合 (版本 1.4.1) 的一部分。
如果您正在使用 ansible 包,您可能已经安装了此集合。 它不包含在 ansible-core 中。 要检查是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用:ansible-galaxy collection install google.cloud。 您需要更多要求才能使用此模块,有关详细信息,请参阅 要求。
要在 playbook 中使用它,请指定:google.cloud.gcp_kms_crypto_key。
注意
由于违反了 Ansible 包含要求,google.cloud 集合将从 Ansible 12 中删除。 该集合有 未解决的健全性测试失败。 有关更多信息,请参阅讨论主题。
概要
一个 `CryptoKey` 表示一个可用于加密操作的逻辑密钥。
要求
执行此模块的主机需要满足以下要求。
python >= 2.6
requests >= 2.18.4
google-auth >= 1.3.0
参数
参数 |
注释 |
|---|---|
如果凭据类型为 accesstoken,则为 OAuth2 访问令牌。 |
|
使用的凭据类型。 选择
|
|
指定您在此模块中运行的 Ansible 环境。 除非您知道自己在做什么,否则不应设置此项。 这只会更改任何 API 请求的 User Agent 字符串。 |
|
此密钥所属的 KeyRing。 格式:`’projects/{{project}}/locations/{{location}}/keyRings/{{keyRing}}’`。 |
|
带有用户定义的元数据以应用于此资源的标签。 |
|
CryptoKey 的资源名称。 |
|
要使用的 Google Cloud Platform 项目。 |
|
CryptoKey 的不可变目的。 有关输入,请参阅https://cloud.google.com/kms/docs/reference/rest/v1/projects.locations.keyRings.cryptoKeys#CryptoKeyPurpose。 一些有效选项包括:“ENCRYPT_DECRYPT”、“ASYMMETRIC_SIGN”、“ASYMMETRIC_DECRYPT” 默认值: |
|
每次经过此期间时,都会生成一个新的 CryptoKeyVersion 并将其设置为主要版本。 第一次轮换将在指定的时间段后进行。 轮换周期采用小数形式,最多可有 9 个小数位,后跟字母 `s`(秒)。 它必须大于一天(即 86400)。 |
|
要使用的范围数组 |
|
服务帐户 JSON 文件的内容,可以采用字典形式或表示它的 JSON 字符串。 |
|
如果选择了 machineaccount 并且用户不希望使用默认电子邮件,则可选的服务帐户电子邮件地址。 |
|
如果选择 serviceaccount 作为类型,则为服务帐户 JSON 文件的路径。 |
|
如果设置为 true,则请求将创建一个没有任何 CryptoKeyVersions 的 CryptoKey。 您必须使用 `google_kms_key_ring_import_job` 资源导入 CryptoKeyVersion。 选择
|
|
给定对象是否应存在于 GCP 中 选择
|
|
描述新加密密钥版本设置的模板。 |
|
创建基于此模板的版本时要使用的算法。 有关可能的输入,请参阅[算法参考](https://cloud.google.com/kms/docs/reference/rest/v1/CryptoKeyVersionAlgorithm)。 |
|
创建基于此模板的版本时要使用的保护级别。 一些有效选项包括:“SOFTWARE”、“HSM” |
注释
注意
API 参考:https://cloud.google.com/kms/docs/reference/rest/v1/projects.locations.keyRings.cryptoKeys
创建密钥:https://cloud.google.com/kms/docs/creating-keys#create_a_key
对于身份验证,您可以使用
GCP_SERVICE_ACCOUNT_FILE环境变量设置 service_account_file。对于身份验证,您可以使用
GCP_SERVICE_ACCOUNT_CONTENTS环境变量设置 service_account_contents。对于身份验证,您可以使用
GCP_SERVICE_ACCOUNT_EMAIL环境变量设置 service_account_email。对于身份验证,您可以使用
GCP_ACCESS_TOKEN环境变量设置 access_token。对于身份验证,您可以使用
GCP_AUTH_KIND环境变量设置 auth_kind。对于身份验证,您可以使用
GCP_SCOPES环境变量设置 scopes。仅当未设置 playbook 值时,才会使用环境变量值。
service_account_email 和 service_account_file 选项是互斥的。
示例
- name: create a key ring
google.cloud.gcp_kms_key_ring:
name: key-key-ring
location: us-central1
project: "{{ gcp_project }}"
auth_kind: "{{ gcp_cred_kind }}"
service_account_file: "{{ gcp_cred_file }}"
state: present
register: keyring
- name: create a crypto key
google.cloud.gcp_kms_crypto_key:
name: test_object
key_ring: projects/{{ gcp_project }}/locations/us-central1/keyRings/key-key-ring
project: test_project
auth_kind: serviceaccount
service_account_file: "/tmp/auth.pem"
state: present
返回值
通用返回值记录在此处,以下是此模块特有的字段
Key |
描述 |
|---|---|
此资源在服务器上创建的时间。 格式为 RFC3339 文本格式。 返回: 成功 |
|
此密钥所属的 KeyRing。 格式:`’projects/{{project}}/locations/{{location}}/keyRings/{{keyRing}}’`。 返回: 成功 |
|
带有用户定义的元数据以应用于此资源的标签。 返回: 成功 |
|
CryptoKey 的资源名称。 返回: 成功 |
|
KMS 何时将创建此加密密钥的新版本的时间。 返回: 成功 |
|
CryptoKey 的不可变目的。 有关输入,请参阅https://cloud.google.com/kms/docs/reference/rest/v1/projects.locations.keyRings.cryptoKeys#CryptoKeyPurpose。 返回: 成功 |
|
每次经过此期间时,都会生成一个新的 CryptoKeyVersion 并将其设置为主要版本。 第一次轮换将在指定的时间段后进行。 轮换周期采用小数形式,最多可有 9 个小数位,后跟字母 `s`(秒)。 它必须大于一天(即 86400)。 返回: 成功 |
|
如果设置为 true,则请求将创建一个没有任何 CryptoKeyVersions 的 CryptoKey。 您必须使用 `google_kms_key_ring_import_job` 资源导入 CryptoKeyVersion。 返回: 成功 |
|
描述新加密密钥版本设置的模板。 返回: 成功 |
|
创建基于此模板的版本时要使用的算法。 有关可能的输入,请参阅[算法参考](https://cloud.google.com/kms/docs/reference/rest/v1/CryptoKeyVersionAlgorithm)。 返回: 成功 |
|
创建基于此模板的版本时要使用的保护级别。 返回: 成功 |