0

我熟悉ansible-vault功能的解决方案。

我们的密码存储为对外部查找的调用(具体而言 - Cyber​​ark 密码)。

但是,普通用户仍然可以使用简单的调试命令来查看它们

ansible -m debug -a var=ansible_password <some host>

我熟悉称为“no_log”的 ansible 功能。当您在任务或特定变量(在 Ansible 参数规范中)设置此属性时 - 输出是隐藏的,即使是高度冗长的

有没有办法在 ansible_password 变量上设置这个属性?所以没有人可以打印吗?

我们想出的唯一其他解决方案是使用保险库,但所有的cyberarcpassword查找都是为了“切断”保险库功能......

4

1 回答 1

0

您可以在每次调用或执行后在 Cyber​​ark 中将密码设置为过期或更改。为什么要担心用户看到 Cyber​​ark 的密码?Ansible 使用后可能就没用了。

于 2021-03-30T05:06:45.743 回答