ansible vault с закрытым ключом в качестве пароля (похоже на eyaml)?

Question

Часть марионетки для миграции миграции. ток кукольной конфигурации использует eyaml:

:eyaml: 
    :datadir: /opt/puppet/yamls 
    :pkcs7_private_key: /opt/puppet/secure/keys/eyaml_private_key.pkcs7.pem 
    :pkcs7_public_key: /opt/puppet/public/eyaml_public_key.pkcs7.pem 
    :extension: 'yaml' 

анзибля имеет хранилище, которое достигает шифрование, но от того, что я понял до сих пор, она требует хранение пароля в виде обычного текста в файл.

Могу ли я использовать комбинацию клавиш, похожую на тумблер для скрытого хранилища?

Answer 1

Вы правы, что ansible-vault поддерживает только использование пароля в качестве ключа шифрования.

Hashicorp Vault имеет подключаемую систему аутентификации и один из встроенных опций uses PEM-format certs. Существует a simple plugin, который интегрирует Vault с Ansible. Vault также предлагает ряд других преимуществ по сравнению с общим зашифрованным файловым подходом, но это более важная тема, которая здесь не подходит.

Answer 2

Из того, что я понял до сих пор, он требует хранения пароля в виде обычного текста в файле.

Не совсем правильно. Вы можете pass executable путь как --vault-password-file значение.
Итак, у вас может быть какой-то скрипт, который будет выполнять любое управление паролями и просто распечатать ключ в stdout (который будет передан как пароль хранилища в Ansible).