Хранить «ansible_ssh_private_key_file» безопасным образом?

Мне интересно, что является рекомендуемой практикой для хранения значений «ansible_ssh_private_key_file» как части доступной книги воспроизведения в системе управления версиями. Я следил за этой отличной веткой Ansible с несколькими парами ключей SSH, но .pem файл будет общедоступным для любого чтения репозитория git.

сейчас думаю о двух вариантах

  1. используйте ansible-vault для шифрования данных закрытого ключа. Это позволяет мне безопасно сохранять содержимое закрытого ключа в git.
  2. Сохраните данные закрытого ключа в диспетчере учетных данных Jenkins. Это немного более запутанно, так как конфигурация теперь находится в двух местах.

Любые советы будут оценены.


ansible ansible-vault
person emeraldjava    schedule 27.09.2018    source источник
comment
Если у вас будет отдельный пароль для значения «ansible_ssh_private_key_file», это, на мой взгляд, хороший план.   -  person k0chan    schedule 27.09.2018

Ответы (1)


arrow_upward
2
arrow_downward

Не рекомендуется помещать секреты (такие как закрытые ключи, пароли, сертификаты и т. д.) в репозиторий в виде простого текста, чтобы вы могли использовать встроенную функцию ansible-vault для шифрования конфиденциальных данных. После этого вы можете закоммитить их в репозиторий git.

Чтобы управлять паролем расшифровки хранилища, вы можете использовать менеджер паролей, чтобы сохранить его в безопасности, но никогда не фиксируйте его.

Вы можете ознакомиться с официальными рекомендациями команды ansible здесь: https://docs.ansible.com/ansible/latest/user_guide/playbooks_best_practices.html

person J. Garnier    schedule 27.09.2018