Memo/Ansible/Vault

Vault: 変数のyamlファイルを暗号化 †

• Vault — Ansible Documentation
  • yamlファイル以外でも暗号化できた。普通のtxtファイル等

• 記事
  • Ansible 1.5リリース そこはかとなく書くよん。

• 暗号化

  ansible-vault encrypt foo.yml bar.yml baz.yml

• 複合化

  ansible-vault decrypt foo.yml bar.yml baz.yml

• playbookから実行する場合に、パスワードを聞く

  ansible-playbook site.yml --ask-vault-pass

• cryptography で高速化

  sudo pip install cryptography

環境変数での参照 †

• Playbook での Vault の使用 — Ansible Documentation
  • 環境変数: ANSIBLE_VAULT_PASSWORD_FILE
  • または "--vault-password-file ~/.vault_pass"

echo "your_secure_password" > ~/.vault_pass
chmod 600 ~/.vault_pass
export ANSIBLE_VAULT_PASSWORD_FILE=~/.vault_pass

一部だけ取り出す †

db_password=$(ansible-vault view group_vars/vault.yml --vault-id example | grep 'db_password' | cut -d' ' -f2)

vaultで暗号化したファイルをgit diffで確認する †

記事:

• ansible-vaultで暗号化したファイルの差分をgit diffで確認する - Qiita

Vault パスワードクライアントスクリプト †

• --vault-id <script> で指定できる

• Vault パスワードクライアントスクリプト
  • 公式pythonサンプル: https://github.com/alibaba/ansible-provider-docs/blob/master/contrib/vault/vault-keyring-client.py

記事:

• Gitリポジトリ上でAWSアクセスキーを大公開しないためにAnsible Vaultをフル活用する | 株式会社ヌーラボ(Nulab inc.)

vaultを検証する †

• ベストプラクティスの通り、設定ファイルを秘密情報とそれ以外に分割すると、扱いやすい。しかし、main.ymlから正しく参照できているか確認が必要。
• group_vars/example/
  • main.yml : メインの設定ファイル

    users:
    - name: user01
      password: "{{ vault_user_01_password }}"

  • vault.yml : password, token, access key等秘密情報を記載して、ansible-vaultで暗号化する

    vault_user_01_password: example

  • playbook

    - hosts: example
      connection: local
      gather_facts: no
      become: no
      tasks:
      - debug:
          var: users

• 実行:
  • vault.yml に未定義の変数がある場合「VARIABLE IS NOT DEFINED!」とだけ表示される。
  • "-v" を付けて実行すると、どの変数が未定義なのか最終行に出力される

    ansible-playbook -i hosts.ini playbook.yml --check --diff --vault-id example.txt -v
    ...
    TASK [debug] *****************************************************************************************************************************************
    ok: [web-0001] => {
        "users": "VARIABLE IS NOT DEFINED!:
    ...
    'vault_user_01_password' is undefined"

秘密情報をAWSサービスで管理する †

方法がいくつか考えられる。

Secret Manager:

• 一つあたり、0.4 USD/month かかる

• vault-idパスワードだけSecret Managerへ登録する。個別パスワードは一つの"group_vars/<group>/vault.yml"にまとめて、ansible-vaultで暗号化
  • Ansible-VaultとAWS SecretsManager で、パスワードとかを安全にAnsibleで管理する - Qiita
  • vault.sh: ディレクトリ毎に異なる値は "vault.env" ファイルに入れておく

    #!/usr/bin/env bash
    #
    if [ -e ./vault.env ]; then
      source ./vault.env
    fi
    aws secretsmanager get-secret-value \
      --secret-id ${VAULT_ID} \
      | jq -r .SecretString \
      | jq -r .vault_id

  • vault.env

    export AWS_PROFILE=example
    export AWS_DEFAULT_REGION=ap-northeast-1
    export VAULT_ID=example-vault-id

  • secretsmanagerにvault_idを登録

    aws secretsmanager --profile example create-secret --name ${VAULT_ID} --secret-string '{"vault_id": "'$(pwgen 32 1)'"}'

  • 例: ansible, ansible-playbook実行時に "--vault-id <script>" を指定する

    ansible-playbook -i hosts.ini --vault-id ./vault-id.sh

• 秘密情報を一つずつ、Secret Managerへ登録する
  • [懸念] 一つ0.4 USD/monthなのでコストがかかる
  • amazon.aws.aws_secret – Look up secrets stored in AWS Secrets Manager. — Ansible Documentation

s3にvaultパスワードを置く:

• Gitリポジトリ上でAWSアクセスキーを大公開しないためにAnsible Vaultをフル活用する | 株式会社ヌーラボ(Nulab inc.)

ベストプラクティス †

• 変数および Vault - ベストプラクティス

  group_vars/
    example/
      vars.yml # 一般的な変数
      vault.yml # 暗号化された変数

  • vars.yml : vaultで暗号化された変数として、"vault_" を変数に付ける

    db_root_password: "{{ vault_db_root_password }}"

  • vault.yml : ansible-vaultで暗号化する

Single Encrypted Variable: 一つの変数だけを暗号化 †

• Using Vault in playbooks — Ansible Documentation

• 以下の様に暗号化したい変数だけを credentials.yml に集めて、ansible-vaultで暗号化した場合、ansible -m pingだけでもvault-idを求められる

  group_vars/example/main.yml
  group_vars/example/credentials.yml

• 値だけを暗号化した場合、その変数が参照されるまでは vault-idなしでもエラーにならない。

  echo -n 'val2' | ansible-vault encrypt --ask-vault-pass
  # または
  echo -n 'val2' | ansible-vault encrypt --vault-password-file /path/to/passwd.txt

  • yaml

    key2: !vault |
        $ANSIBLE_VAULT;1.1;AES256
    ...

Software

• 自作ソフト
• wiki自作プラグイン
• 利用規定
• ランキング
• 雑誌等掲載履歴

Programming

Game

雑記

連絡先

• MenuBar
• RightBar
• :admin
  

人気の10件

最新の10件