Ansibleの `--vault-password-file`に相当する設定は何ですか？

ansible-playbookのヘルプによると、--user=REMOTE_USERsshユーザーの定義に使用できますが、host- ansible_ssh_user: REMOTE_USERvarまたはgroup_varsのいずれかで定義することもできます。

質問

どのような変数が必要それを防ぐために、基またはhost_varsディレクトリのいずれかに定義することは--vault-password-file実行中に定義する必要がありますかansible-playbook？

試み

• 構成ansible_vault_password_file: ~/.vault_pass.txtで定義されている場合、復号化は失敗します。

  ERROR! Decryption failed on /path/to/vault
  

• このドキュメントには関連するボールト変数が見つかりませんでした

ここでの定義は次のとおりです。

DEFAULT_VAULT_PASSWORD_FILE = get_config(p, DEFAULTS, 'vault_password_file', \
'ANSIBLE_VAULT_PASSWORD_FILE', None, value_type='path')

これは、ansible.cfgまたはプレイブックのいずれかに配置することを意味します。

vault_password_file: ~/.vault_pass.txt

または、シェルでこの変数を定義しました：

export ANSIBLE_VAULT_PASSWORD_FILE=~/.vault_pass.txt

ANSIBLE_VAULT_PASSWORD_FILEボールトのパスワードファイルのパスを格納する環境変数を設定できます。このように、常に使用する必要はありません--vault-password-file、プレイブックを実行するときにスイッチをなくなります。

これは、ここにあるAnsibleのVaultドキュメントで説明されています。

それで、にソースを追加export ANSIBLE_VAULT_PASSWORD_FILE=~/.vault_pass.txtし、~/.bash_profileそこからソースを取得すれば、準備は完了です。

ホストのグループごとに異なるボールトパスワードが必要な場合は、以下を実行する必要があります。

このサブディレクトリ内に、varsおよびvaultという名前の2つのファイルを作成します。varsファイル内で、機密変数を含め、必要なすべての変数を定義します。次に、すべての機密変数をボールトファイルにコピーし、これらの変数の前にvault_を付けます。varsファイルの変数を調整して、一致するvault_変数を指すようにし、VaultファイルがVaultで暗号化されていることを確認する必要があります。

これは、グループごとに機密情報を管理するためのベストプラクティスアプローチの例です。詳細については、Ansibleのドキュメントを参照してください（上記のテキストはそこからコピーされます）。