我熟悉ansible-vault
功能的解决方案。
我们的密码存储为对外部查找的调用(具体而言 - Cyberark 密码)。
但是,普通用户仍然可以使用简单的调试命令来查看它们
ansible -m debug -a var=ansible_password <some host>
我熟悉称为“no_log”的 ansible 功能。当您在任务或特定变量(在 Ansible 参数规范中)设置此属性时 - 输出是隐藏的,即使是高度冗长的
有没有办法在 ansible_password 变量上设置这个属性?所以没有人可以打印吗?
我们想出的唯一其他解决方案是使用保险库,但所有的cyberarcpassword查找都是为了“切断”保险库功能......