Ansible Vault는 플레이북 또는 변수 파일을 암호화 하거나 변수 값을 암호화하여 민감한 콘텐츠를 보호할 수 있다.
⇒ 패스워드가 필요
ansible-vault 명령을 사용하여 암호화된 변수를 생성하고 암호화된 파일을 생성, 기존 파일을 암호화 하거나 암호화된 파일을 편집하고 복호화할 수 있다.
파일 수준 암호화
플레이북 전체
작업 파일 전체
include_, import_ 모듈로 가져오는 작업 및 핸들러 파일
변수 파일
group_vars/, host_vars/ 디렉토리의 변수파일, include_vars 모듈, vars_files 키워드로 가져오는 변수파일, 역할의 변수 파일
가변 수준 암호화
변수 값
플레이북에 !vault 태그로 시작하는 임베딩 값
단일 볼트 패스워드
작은 팀이거나 민감한 값이 적은 경우 암호화 해야하는 모든 대상에 단일 암호를 사용할 수 있다.
여러 볼트 패스워드
여러 사람이 관리하는 큰 팀이거나 민감한 값이 많은 경우 암호화하는 각 대상마다 별도의 패스워드를 사용할 수 있다.
Ansible Vault는 기본적으로 단일 볼트 패스워드를 사용하며, ansible-vault 명령을 실행하면 패스워드를 입력받는 프롬프트가 나오며, 단일 볼트 패스워드를 지정할 수 있다.
패스워드 파일을 이용해 사용할 단일 볼트 패스워드를 제공할 수도 있다.
--vault-password-file [TEXT_FILE]
Ansible Vault는 Vault ID를 통해 각 암호화 대상에 별도의 볼트 패스워드를 지원한다.
Vault ID는 개별 볼트 패스워드를 구별하기 위한 Label이다.