使用Ansible Vault有效保护配置机密指南

Ansible Vault帮助您将配置机密从纯文本中剥离，同时仍使用常规Ansible变量。如果您的剧本包含数据库密码、API密钥或私钥，以未加密形式提交它们可能将常规仓库泄露演变为基础设施事故。

Ansible Vault加密结构化变量文件或单个值，仅在Ansible拥有保险库密码时解密。本指南展示您实际会使用的命令、如何在剧本中加载保险库变量，以及团队常犯的错误。

理解Ansible Vault核心概念

Ansible Vault使用强对称加密（AES256）保护数据。核心机制需要一个保险库密码作为主密钥。每当Ansible需要访问或修改加密内容时，必须提供此密码。

为何使用Ansible Vault？

• 安全性： 确保敏感数据在静态时加密，防止仓库泄露。
• 合规性： 帮助满足要求加密凭据的行业标准（如PCI DSS、SOC 2）。
• 工作流： 允许包含机密的配置文件安全地提交到版本控制系统（如Git）。

基本Ansible Vault命令

ansible-vault命令是一个独立工具，用于在剧本运行之外管理加密文件。

1. 创建新的保险库文件

要创建专门用于机密的新文件，使用create命令。这会立即提示您输入新保险库密码，然后在默认文本编辑器（$EDITOR）中打开文件。

ansible-vault create secrets/db_passwords.yml

示例内容（保存后的db_passwords.yml）：

# 此文件已加密
db_user: app_admin
db_pass: HighlySecurePassword123!
api_key: abc-123-def-456

保存并关闭编辑器后，内容被加密，文件即可提交到版本控制。

2. 查看加密内容

如果需要快速检查保险库文件内容而不编辑，使用view命令。系统会提示您输入保险库密码。

ansible-vault view secrets/db_passwords.yml

3. 编辑现有保险库文件

edit命令是修改机密的主要方式。Ansible解密文件，在编辑器中打开，保存后自动重新加密文件。

ansible-vault edit secrets/db_passwords.yml

提示： 确保正确设置$EDITOR环境变量（例如export EDITOR=vim），以获得流畅的编辑体验。

4. 加密和解密现有文件

如果现有纯文本文件需要保护，使用encrypt命令。相反，decrypt用于将加密文件恢复为纯文本（谨慎使用，通常用于迁移）。

# 加密现有文件
ansible-vault encrypt plain_vars.yml

# 解密现有保险库文件（危险！仅在必要时使用）
ansible-vault decrypt secured_vars.yml

5. 更改保险库密码（重新密钥）

要更新保险库文件的主密码，使用rekey命令。这需要您提供当前密码，然后设置新密码。

ansible-vault rekey secrets/db_passwords.yml

这对于安全轮换或过渡到新凭据管理系统至关重要。

将保险库机密集成到Ansible剧本中

文件加密后，您需要一种方法在剧本执行期间加载它们并提供必要的保险库密码。

加载加密变量

加密变量文件的加载方式与任何其他变量文件相同，通常使用剧本中的vars_files指令。

剧本示例（site.yml）：

---
- name: 部署需要数据库机密的应用程序
  hosts: webservers
  vars_files:
    - secrets/db_passwords.yml  # Ansible自动检测此文件已加密

  tasks:
    - name: 确保数据库用户已配置
      ansible.builtin.template:
        src: config.j2
        dest: /etc/app/config.conf
        mode: '0600'
      # 变量如 {{ db_user }} 和 {{ db_pass }} 现在可用

在执行期间提供保险库密码

Ansible提供多种安全方法来提供保险库密码，而不会将其暴露在历史记录或脚本中。

方法1：交互式提示

最简单的方法是使用--ask-vault-pass标志，在运行时安全地提示用户输入密码。

ansible-playbook site.yml --ask-vault-pass

方法2：使用密码文件

对于自动化、CI/CD管道或不需要交互式提示的环境，您可以使用纯文本密码文件（通常存储在主仓库之外，并通过严格的文件权限保护）。

# 注意：密码文件必须仅包含保险库密码文本。
ansible-playbook site.yml --vault-password-file ~/.ansible/vault_key.txt

方法3：加密单个变量（encrypt_string）

如果您只需要加密单个小变量（例如在inventory文件中），而不是整个YAML文件，使用ansible-vault encrypt_string。

# 使用'echo'或'printf'直接传递机密
ansible-vault encrypt_string 'MySuperSecretAPIKey' --name 'prod_api_key'

此命令输出加密字符串，可直接粘贴到清单或变量文件中：

prod_api_key: !vault |
  $ANSIBLE_VAULT;1.1;AES256
  37666236613364656165386638323438646132646337326462613134373463353434613861313361
  ...（其余加密数据）

企业保险库管理最佳实践

有效的机密管理不仅限于加密文件。采用以下最佳实践可确保安全性和可维护性：

1. 专用保险库密码文件

在自动化环境中始终使用--vault-password-file方法。包含密码的文件应具有极其严格的权限（chmod 400），并且绝不应提交到Git。

2. 环境隔离

为不同环境（开发、预发布、生产）使用单独的保险库文件。这防止低风险环境访问高风险生产凭据。

• vars/prod_vault.yml
• vars/stage_vault.yml

使用清单组或剧本中的条件逻辑有条件地加载这些文件。

3. 当Vault不足时使用外部机密存储

对于较大环境，考虑外部机密存储，如HashiCorp Vault、AWS Secrets Manager或云原生密钥管理。Ansible查找插件可以在运行时获取这些值，而Ansible Vault仍适用于小机密、引导值或尚未拥有专用机密平台的团队。

4. 组变量与剧本变量

通常更清晰的做法是将保险库变量存储在group_vars或host_vars下，使用常规变量文件名。Ansible在加载文件时解密保险库内容；扩展名只是约定，而非触发解密的特性。

# 结构示例
inventory/
├── hosts
└── group_vars/
    └── webservers/
        └── vault.yml

保持Vault实用

从加密剧本已加载的机密开始，然后标准化团队提供保险库密码的方式。将保险库密码保留在Git之外，将生产机密与较低环境分离，并在访问权限变更时使用ansible-vault rekey轮换密码。