Как использовать Ansible Vault для безопасного хранения приватных ключей?

Ansible Vault — утилита для шифрования файлов, в которых нужно хранить секретные переменные, в том числе приватные ключи. habr.com www.cherryservers.com В качестве алгоритма шифрования используется AES256. habr.com www.cherryservers.com

Чтобы создать зашифрованный файл, нужно выполнить команду ansible-vault create с указанием имени файла, например secrets.yml. www.howtogeek.com После запроса пароля команда запустит системный редактор файлов по умолчанию, и при сохранении файл будет зашифрован. www.howtogeek.com

Для шифрования существующего файла используется команда ansible-vault encrypt. www.howtogeek.com www.cherryservers.com

Чтобы посмотреть содержимое зашифрованного файла, нужно выполнить команду ansible-vault view с указанием имени файла. www.cherryservers.com После выполнения команды потребуется ввести пароль, который использовался для шифрования файла. www.cherryservers.com

Для редактирования зашифрованных файлов используется команда ansible-vault edit. www.cherryservers.com Снова потребуется ввести пароль файла, после чего Ansible откроет его в текстовом редакторе. www.cherryservers.com

Для обновления пароля хранилища используется подкоманда rekey. www.techsyncer.com Она принимает путь к зашифрованному файлу в качестве единственного аргумента. www.techsyncer.com Нужно указать текущий пароль для файла, а затем новый. www.techsyncer.com

Важно учитывать, что Ansible Vault защищает данные только когда они находятся в состоянии покоя. habr.com После того, как данные расшифрованы, Vault уже не может их защитить. habr.com