Ansible - инвентаризация динамического aws: чтение переменной хранилища для ключа ec2.py и секрета

Question

Ansible - инвентаризация динамического aws: чтение переменной хранилища для ключа ec2.py и секрета

Я знаю для ec2.py Я могу либо указать переменные среды через export перед звонком ec2.py или использовать boto файл конфигурации с текстовыми паролями (или набором ключей Python).

Так как в любом случае у меня есть ключ и секрет aws в ansible vault, есть ли способ автоматически экспортировать его из хранилища или любым другим способом передать значение в ec2.py вместо того, чтобы указать это снова?

0

amazon-web-services amazon-ec2 ansible boto

Источник

cytopia 14 мар '17 в 10:07

2 ответа

Другие вопросы по тегам amazon-web-services amazon-ec2 ansible boto

Henrik Pingel 14 мар '17 в 10:36 2017-03-14 10:36 · Answer 1 · 2017-03-14 10:36

Ну, вы могли бы написать простую задачу, чтобы сбросить ключи из vault в boto3 конфигурации.

---
- name: Ensure AWS credentials configuration is present.
  template:
    src: credentials.j2
    dest: "/home/{{ ansible_user }}/.aws/credentials"

credentials.j2

[default]
aws_access_key_id = {{ aws_access_key_id }}
aws_secret_access_key = {{ aws_secret_access_key }}

куда aws_access_key_id а также aws_secret_access_key может храниться в хранилище.

Задача должна быть выполнена на управляющем хосте Ansible (хост, который выполняет ansible-playbook).

Затем ключи будут незашифрованы на управляющем хосте Ansible. ИМХО (я могу ошибаться здесь), вам нужно предоставить простые ключи AWS для boto либо через переменные окружения (export команда) или через конфигурацию boto.

Ansible делает вызовы API для AWS через boto. Бото не является частью Ansible. Так что нет никакого собственного способа использовать параметры, определенные в Ansible в boto. Эта функциональность должна быть частью Бото.

Osterjour 20 мар '17 в 11:11 2017-03-20 11:11 · Answer 2 · 2017-03-20 11:11

Как вы упомянули, вы запускаете Ansible на экземпляре EC2, вы на самом деле не должны использовать учетные данные, а роли, привязанные к экземпляру EC2: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html

Идея состоит в том, что ваш экземпляр сам может получать временные учетные данные и выполнять необходимые команды, определенные в этой роли. Поскольку вы нигде не храните учетные данные, это самый безопасный способ работы с API AWS из экземпляра EC2. Поскольку Ansible полагается на boto, это будет работать из коробки - вам просто нужно создать роль, которая имеет все необходимые разрешения IAM, и прикрепить ее к вашему экземпляру, на котором вы запускаете Ansible. После этого ваш динамический инвентарь будет работать без дополнительных учетных данных.