Ansibleでバイナリファイルを暗号化する方法

Ansible Vaultを使用して、パスワード、証明書の秘密鍵などをAnsible Playbook gitリポジトリに保存しています。既存のプライベートデータはすべてテキスト形式であるため、変数に格納できます。これらは、テンプレートまたはcontentコピーモジュールのパラメーターで使用されます。

これで、JavaのKeyStoreファイルができましたが、残念ながらバイナリ形式になっています。そのため、それを変数内に格納することはできません-または、少なくともそれを行う方法がわかりません。gitに保存されているファイルを適切に暗号化する最も簡単な方法は何ansible-playbookですか？実行時に利用できますか？

私が成功せずにすでに試したこと：

• バイナリファイルをbase64でエンコードし、エンコードされたデータを変数に格納し、テンプレートモジュールをで使用します{{base64_data | b64decode}}。EF BF BD結果ファイルの大量の16進ダンプにつながります。3バイトはUnicode置換文字をUTF-8でエンコードするため、バイナリデータをテキストとして解釈する際に問題があります。
• バイナリファイルをbase64でエンコードし、エンコードされたデータを変数に格納し、でコピーモジュールを使用しますcontent="{{base64_data | b64decode}}"。Ansibleは「変数がモジュールの引数に新しいパラメーターを挿入しました」と文句を言います。二重引用符の代わりに単一引用符を使用すると、Ansibleは「引数文字列の解析エラー」と、ターミナルにダンプされたすべてのバイナリデータのコピーを表示します...

これを行うには、base64変数でシェルコマンドを使用できます。

- vars:
  - myvar: "<my_base64_var>"
- name: Create binary file
  shell: "echo '{{myvar}}' | base64 -d > /var/tmp/binary.dat"

エリック

ansibleセットアップでそれを行う方法は次のとおりです。

-https : //www.agwa.name/projects/git-crypt/ を使用して個々の機密資料（リポジトリの小さなサブセット）を暗号化します -すべての人は常にgit署名タグを使用してコミットします-未署名のファイルがないか定期的にチェックします

git-cryptの利点は、gitフィルターに依存しているため、暗号化が透過的であることです。さらに、暗号化されたコンテンツを損なうことなく、リポジトリへのアクセスを開発者に与えることができます（復号化キーを取得できない場合、暗号化されたファイルは無視されます）。