資格情報をファイルに保存しないで、Ansible Azureプレイブックを実行するにはどうすればよいですか？

バックグラウンド

1. Azureインフラストラクチャのプロビジョニングと管理には、Ansibleを使用しています。現時点では、Ansibleを「手動」で実行しています。つまり、さまざまな自動化タスクのプレイブックを手動で実行しています。CIインフラストラクチャはありません。
2. おそらく関係ありませんが、動的スクリプトを使用して在庫を管理していますazure_rm.py。
3. 可能な限り安全であることをお勧めします。
   1. Vaultのパスワードを~/.vault_passローカルファイルに保存しないでください。
   2. Azureシークレットを格納しないでください ~/.azure/credentials
   3. 安全なものをに保管しないでください.bashrc。

このようなシナリオでは、上記のガイドラインに従いながら、プレイブックがAzureシークレットに確実にアクセスできるようにするための一貫した戦略を思い付くことができません。

質問

プレイブックがアクセスできるようにしながら、Ansible VaultとAzureの資格情報をファイルに保存しないようにするにはどうすればよいですか？

私が試したこと

これまでのところ、次のようなラッパースクリプトを考え出しました。

1. ユーザーにVaultパスワードを要求する
2. これを使用して、保管されたシェルスクリプトを復号化します
3. Azure環境変数を環境にロードするスクリプトを評価します。
4. このように設定された環境でプレイブックを実行します。

そこにもっと良い（よりエレガントで、より複雑でなく、より「Ansible」）ソリューションはありますか？

ボールトのパスワード

まず、ボールトのパスワードファイルが実行可能なスクリプトである可能性があることを理解する必要があります。この場合、Ansibleはそれを実行し、パスワードを出力として受け取ることを期待します。

たとえば、gpg-agentまたはkeychainを使用して実際のパスワードを保存し、必要に応じてロックを解除できます。詳しくは、このブログ投稿をご覧ください：https : //benincosa.com/?p=3235

少し偏執狂の場合は、次のように、パスワードスクリプトが呼び出されたときに通知を追加できます。

#!/bin/bash
PARENT_PROCESS=$(ps -p $PPID -o args | tail -n 1)
osascript -e "display notification \"Vault password used by ${PARENT_PROCESS}\" with title \"Ansible\" sound name \"default\""
gpg --batch --use-agent --no-tty --decrypt key.gpg 2>/dev/null

このボールトパスワードスクリプトはkey.gpg、実際のボールトキーとして使用され、スクリプトが使用されると親プロセス名とともにポップアップ通知（MacOSの場合）も表示します。Gpg-agentは一定期間ロック解除パスワードをキャッシュするため、プレイブックを起動するたびにパスワードを入力する必要はありません。

に設定vault_password_file = ./vault_pass.shするだけansible.cfgです。

環境

あなたはazure_rm.py動的在庫スクリプトとして使用すると述べました。つまり、環境変数を使用できるようにするには、ansible-playbookを開始する前に、環境変数に認証情報を設定する必要があります。

次の2つのファイルを作成できます。

secure_env （ボールトで暗号化）：

export AZURE_SECRET=xxx;export AZURE_SUBSCRIPTION_ID=xxx;

set_env （プレーンテキスト）：

echo -n "Setting secure vars... "
eval $(ansible-vault view secure_env)
echo "done."

新しいターミナルを開いて自動化タスクを実行するときは、以下を実行する必要があります。

source set_env

この時点で、bashが評価されset_env、secure_env（Ansible Vaultを介して復号化されます）。このコマンドの後、現在のシェルにAzure資格情報が定義されているため、通常どおりにプレイブックを実行できます。

ansible-playbook provision-my-azure-instances.yml

したがって、この2つのアプローチを使用するkey.gpgとsecure_env、リポジトリにを格納できます。次に、新しい端末呼び出しでsource set_env1回、gpgパスワードを1回入力します（key.gpgの将来の使用をロック解除するため）。その後ansible-playbook、パスワードなしで何回でも電話をかけます。

https://docs.ansible.com/ansible/2.4/vault.htmlを読んでください 。Ansible2.4から使用できます--vault-id @prompt。

ansible-vaultを使用してファイルを暗号化する：

ansible-vault encrypt /path/to/encrypted/file

プレイブックを実行すると、次の結果になります。

fatal: [localhost]: FAILED! => {"msg": "A vault password or secret must be
specified to decrypt /path/to/encrypted/file"}

ファイルを復号化するには、次のような複数のオプションがあります@prompt。

ansible-playbook some-playbook --vault-id @prompt

プロンプトが表示されます：

Vault password (default):

ボールトのパスワードが入力されると、プレイブックは成功します。