Kurzfassung
Ansible Vault ist der eingebaute Verschlüsselungsmechanismus für Ansible, mit dem Teams sensible Werte – Passwörter, API-Keys, Zertifikate – sicher zusammen mit ihren Playbooks in der Versionskontrolle speichern können.
Was ist Ansible Vault?
Ansible Vault verschlüsselt Dateien oder einzelne Variablenwerte mit AES-256-Verschlüsselung. Verschlüsselte Inhalte können sicher in Git neben regulärem Playbook-Code gespeichert werden, da der Chiffretext unbedenklich ist. Zur Laufzeit entschlüsselt Ansible die Werte mit einem Passwort, das interaktiv oder über eine Passwortdatei bereitgestellt wird.
Teams verschlüsseln typischerweise ganze Variablendateien (group_vars, host_vars) oder einzelne String-Werte mit ansible-vault encrypt_string. Das Flag --ask-vault-pass oder die Umgebungsvariable ANSIBLE_VAULT_PASSWORD_FILE liefert den Entschlüsselungsschlüssel bei der Playbook-Ausführung.
Vault lässt sich gut mit Secret-Management-Plattformen kombinieren: Manche Teams speichern das Vault-Passwort selbst in HashiCorp Vault oder einem CI/CD-Secret-Store.
Warum ist Ansible Vault relevant?
- Sicherheit: Sensible Werte erscheinen niemals im Klartext in Versionskontroll-Repositories
- Einfachheit: Für einfache Anwendungsfälle ist keine externe Secret-Management-Infrastruktur erforderlich
- Auditierbarkeit: Verschlüsselte Dateien in Git tragen die vollständige Änderungshistorie
- Compliance: Unterstützt Anforderungen an das Secrets-Management in regulierten Umgebungen