Memo/Ansible/Vault のバックアップ(No.3)

Vault: 変数のyamlファイルを暗号化
- ベストプラクティス
- Single Encrypted Variable: 一つの変数だけを暗号化

Vault: 変数のyamlファイルを暗号化 †

Vault — Ansible Documentation
- yamlファイル以外でも暗号化できた。普通のtxtファイル等

記事
- Gitリポジトリ上でAWSアクセスキーを大公開しないためにAnsible Vaultをフル活用する | 株式会社ヌーラボ(Nulab inc.)
- Ansible 1.5リリースそこはかとなく書くよん。

暗号化

ansible-vault encrypt foo.yml bar.yml baz.yml

複合化

ansible-vault decrypt foo.yml bar.yml baz.yml

playbookから実行する場合に、パスワードを聞く
```
ansible-playbook site.yml --ask-vault-pass
```

cryptography で高速化
```
sudo pip install cryptography
```

↑

ベストプラクティス †

変数および Vault - ベストプラクティス
```
users:
- name: user01
  password: "{{ vault_user_01_password }}"
```
- vars.yml : vaultで暗号化された変数として、"vault_" を変数に付ける
```
vault_user_01_password: example
```
- vault.yml : ansible-vaultで暗号化する

↑

Single Encrypted Variable: 一つの変数だけを暗号化 †

Using Vault in playbooks — Ansible Documentation

以下の様に暗号化したい変数だけを credentials.yml に集めて、ansible-vaultで暗号化した場合、ansible -m pingだけでもvault-idを求められる
```
- hosts: example
  connection: local
  gather_facts: no
  become: no
  tasks:
  - debug:
      var: users
```

値だけを暗号化した場合、その変数が参照されるまでは vault-idなしでもエラーにならない。

ansible-playbook -i hosts.ini playbook.yml --check --diff --vault-id varanus.txt -v
...
TASK [debug] *****************************************************************************************************************************************
ok: [varanus-0001] => {
    "users": "VARIABLE IS NOT DEFINED!:
...
'vault_user_01_password' is undefined"

yaml

#!/usr/bin/env bash
#
if [ -e ./vault.env ]; then
  source ./vault.env
fi
aws secretsmanager get-secret-value \
  --secret-id ${VAULT_ID} \
  | jq -r .SecretString \
  | jq -r .vault_id