Встроенные типы полномочий#
В Automation Controller встроены следующие типы полномочий:
API-токен Ansible Galaxy/Automation Hub (Ansible Galaxy/Automation Hub API Token);
Открытый ключ GPG (GPG Public Key);
Web-сервисы Amazon (Amazon Web Services);
Виртуализация Red Hat (Red Hat Virtualization);
Диспетчер ресурсов Microsoft Azure (Microsoft Azure Resource Manager);
Личный токен доступа к GitHub (GitHub Personal Access Token);
Машина (Machine);
Платформа автоматизации Red Hat Ansible (Red Hat Ansible Automation Platform);
Реестр контейнеров (Container Registry);
Сеть (Network);
Токен персонального доступа GitLab (GitLab Personal Access Token);
Токен доступа OpenShift или Kubernetes API (OpenShift or Kubernetes API Bearer Token);
Система управления версиями (Source Control).
API-токен Ansible Galaxy/Automation Hub#
Полномочия этого типа предоставляют доступ к репозиториям коллекций Ansible, таким, как Ansible Galaxy, Automation Hub и Private Automation Hub.
Они необходимы для загрузки и установки коллекций, которые требуются для проектов организации, при создании и синхронизации этих проектов. Для использования полномочия требуется выполнение следующих условий:
наличие в корневом каталоге проекта файла
requirements.ymlсо списком зависимостей;связь созданного полномочия с организацией.
Для создания полномочий этого типа необходимо предоставить следующие данные:
URL репозитория.
Важно
URL репозитория должен завершаться символом
/.По умолчанию коллекции загружаются из репозитория
published. В этом случае допускается указать сокращенный URL:https://hub.example.com/api/galaxy/
Чтобы получить доступ к репозиторию, отличному от
published, приведите URL к следующему виду:https://hub.example.com/api/galaxy/content/<repository>/
Здесь <repository> – название репозитория в реестре коллекций.
Токен доступа, созданный пользователем на стороне используемого реестра контента Ansible.
Адрес сервера Keycloak для выдачи токена (при использовании SSO).
Чтобы использовать несколько репозиториев одного и того же реестра, создайте для каждого репозитория отдельное полномочие.
Centrify Vault Credential Provider Lookup#
Полномочия этого типа используются для доступа к системе управления секретами Centrify Vault Credential Provider.
CyberArk Central Credential Provider Lookup#
Полномочия этого типа используются для доступа к системе управления секретами CyberArk Central Credential Provider. Для использования данной интеграции требуется запущенный веб-сервис хранения секретов CyberArk Central Credential Provider.
Поддерживается защита подключения с помощью SSL.
CyberArk Conjur Secrets Manager Lookup#
Полномочия этого типа используются для доступа к системе управления секретами CyberArk Conjur Secrets Manager.
Google Compute Engine#
Полномочия этого типа используются для доступа к списку управляемых узлов в Google Compute Engine с реквизитами сервисной учетной записи.
Для создания полномочий этого типа необходимо предоставить следующие данные о сервисной учетной записи Google Compute Cloud:
адрес электронной почты;
закрытый ключ RSA, связанный с указанным адресом электронной почты.
Совет
Для автоматического заполнения реквизитов сервисной учетной записи Google Compute Cloud можно использовать файл в формате JSON. Пошаговые инструкции по созданию такого файла см. в документации Google Compute Cloud.
Открытый ключ GPG#
Полномочия этого типа используются для проверки подписи содержимого, полученного из внешних источников.
HashiCorp Vault Secret Lookup#
Полномочия этого типа используются для доступа к учетным данным, хранящимся в хранилище секретов HashiCorp Vault.
Для создания полномочий этого типа необходимо предоставить следующие данные:
URL сервера HashiCorp Vault.
Учетные данные для доступа к серверу HashiCorp Vault.
Номер версии API.
Подробности об использовании хранилища секретов HashiCorp Vault см. в соответствующей секции.
HashiCorp Vault Signed SSH#
Полномочия этого типа используются для доступа к приватным ключам SSH, хранящимся в HashiCorp Vault.
Для создания полномочий этого типа необходимо предоставить следующие данные:
URL сервера HashiCorp Vault.
Учетные данные для доступа к серверу HashiCorp Vault.
Номер версии API.
Подробности об использовании хранилища секретов HashiCorp Vault см. в соответствующей секции.
Insights#
Полномочия этого типа используются для доступа к списку управляемых узлов в Red Hat Insights.
Microsoft Azure Key Vault#
Полномочия этого типа используются для доступа к списку управляемых узлов в Microsoft Azure Key Vault.
OpenStack#
Полномочия этого типа используются для доступа к списку управляемых узлов в OpenStack.
Поддерживается защита подключения с помощью SSL.
Red Hat Satellite 6#
Полномочия этого типа используются для доступа к списку управляемых узлов в Red Hat Satellite 6.
Thycotic DevOps Secrets Vault#
Полномочия этого типа используются для доступа к системе управления секретами Thycotic DevOps Secrets Vault.
Thycotic Secret Server#
Полномочия этого типа используются для доступа к серверу секретов Thycotic Secret Server.
Vault#
Полномочия этого типа используются для доступа к списку управляемых узлов в Ansible Vault.
Если необходим доступ к нескольким хранилищам, необходимо предоставить соответствующие им идентификаторы Vault.
VMware vCenter#
Полномочия этого типа используются для доступа к списку управляемых узлов в VMware vCenter.
Web-сервисы Amazon#
Полномочия этого типа используются для доступа к списку управляемых узлов в Web-сервисах Amazon.
Для создания полномочий этого типа необходимо предоставить следующие данные Web-сервисов Amazon:
публичный ключ доступа;
секретный ключ.
Виртуализация Red Hat#
Полномочия этого типа используются для доступа к расширению (plug-in) инвентаря oVirt4.py, которым управляют с помощью Виртуализации Red Hat.
Диспетчер ресурсов Microsoft Azure#
Полномочия этого типа используются для доступа к списку управляемых узлов в Диспетчере ресурсов Microsoft Azure.
Личный токен доступа к GitHub#
Полномочия этого типа используются для доступа к GitHub с помощью личного токена доступа. Данный тип полномочий позволяет устанавливать API-соединение с GitHub для использования в заданиях и публикации обновлений состояния.
Пошаговые инструкции по созданию токена см. в документации GitHub.
Машина#
Полномочия этого типа используются для доступа к управляемым узлам по SSH. Поддерживается аутентификация по паролю и ключам SSH, созданным с применением различных алгоритмов.
При настройке полномочия можно выбрать один из следующих способов повышения привилегий:
sudo;
su;
pbrun;
pfexec;
dzdo;
pmrun;
runas;
enable;
doas;
ksu;
machinectl;
sesu.
Использование этой настройки эквивалентно выполнению команды ansible-playbook с параметром --become-method=<method>.
Платформа автоматизации Red Hat Ansible#
Полномочия этого типа используются для доступа к Платформе автоматизации Red Hat Ansible.
Поддерживается защита подключения с помощью SSL.
Реестр контейнеров#
Полномочия этого типа используются для доступа к различным хранилищам образов, например:
Поддерживается защита подключения с помощью SSL.
Сеть#
Полномочия этого типа используются для управления сетевым оборудованием. К настоящему времени, согласно документации Ansible, он устарел и не рекомендован к использованию. Вместо него рекомендуется использовать тип «Машина».
Токен персонального доступа GitLab#
Полномочия этого типа используются для доступа к GitLab с помощью личного токена доступа. Данный тип полномочий позволяет устанавливать API-соединение с GitLab для использования в заданиях и публикации обновлений состояния с помощью webhook.
Пошаговые инструкции по созданию токена см. в документации GitLab.
Токен доступа OpenShift или Kubernetes API#
Полномочия этого типа используются для создания групп с доступом в контейнеры OpenShift или Kubernetes.
Для обеспечения доступа необходимо предоставить следующие данные:
адрес точки доступа OpenShift или Kubernetes API для аутентификации;
токен.
Поддерживается защита подключения с помощью SSL.
Система управления версиями#
Полномочия этого типа используются для доступа к системам контроля версий на основе Git и Subversion.
Поддерживается доступ с помощью ключа SSH или с использованием имени пользователя и пароля.