Встроенные типы полномочий#
Многие встроенные типы полномочий используют протокол HTTPS для защиты подключения к внешним ресурсам. Проверка сертификата TLS при этом может выполняться как на стороне платформы (в большинстве случаев), так и на стороне сервера. Если сертификат не проходит проверку, связанная с полномочием задача завершается ошибкой. В настройках некоторых типов полномочий проверку сертификата можно выключить.
У большинства встроенных типов полномочий URL внешнего ресурса задается на этапе создания полномочия. Однако, у полномочий некоторых встроенных типов изменить URL внешнего ресурса нельзя.
В Automation Controller встроены следующие типы полномочий:
API-токен Ansible Galaxy/Automation Hub (Ansible Galaxy/Automation Hub API Token);
Web-сервисы Amazon (Amazon Web Services);
Виртуализация Red Hat (Red Hat Virtualization);
Диспетчер ресурсов Microsoft Azure (Microsoft Azure Resource Manager);
Конфигурация terraform backend (Terraform backend configuration);
Личный токен доступа к GitFlic (GitFlic Personal Access Token);
Личный токен доступа к GitHub (GitHub Personal Access Token);
Машина (Machine);
Открытый ключ GPG (GPG Public Key);
Платформа автоматизации Red Hat Ansible (Red Hat Ansible Automation Platform);
Реестр контейнеров (Container Registry);
Сеть (Network);
Система управления версиями (Source Control);
Токен доступа OpenShift или Kubernetes API (OpenShift or Kubernetes API Bearer Token);
Токен персонального доступа GitLab (GitLab Personal Access Token).
API-токен Ansible Galaxy/Automation Hub#
Полномочия этого типа предоставляют доступ к репозиториям коллекций Ansible, таким, как Ansible Galaxy, Automation Hub и Private Automation Hub.
Они необходимы для загрузки и установки коллекций, которые требуются для проектов организации, при создании и синхронизации этих проектов. Для использования полномочия требуется выполнение следующих условий:
наличие в корневом каталоге проекта файла
requirements.ymlсо списком зависимостей;связь созданного полномочия с организацией.
Для создания полномочий этого типа предоставьте следующие данные:
URL репозитория.
Важно
URL репозитория должен завершаться символом
/.По умолчанию коллекции загружаются из репозитория
published. В этом случае допускается указать сокращенный URL:https://hub.example.com/api/galaxy/
Чтобы получить доступ к репозиторию, отличному от
published, приведите URL к следующему виду:https://hub.example.com/api/galaxy/content/<repository>/
Здесь <repository> – название репозитория в реестре коллекций.
Токен доступа, созданный пользователем на стороне используемого реестра контента Ansible.
Адрес сервера Keycloak для выдачи токена (при использовании SSO).
Чтобы использовать несколько репозиториев одного и того же реестра, создайте для каждого репозитория отдельное полномочие.
TLS:
требуется валидный сертификат на стороне репозитория коллекций;
отключить проверку нельзя.
URL:
задается при создании полномочий;
по умолчанию при указании доменного имени используется протокол
https, при необходимости его можно изменить в поле URL.
AWS Secrets Manager lookup#
Полномочия этого типа предоставляют доступ к секретам, хранящимся в Amazon Web Services Secrets Manager.
Для создания полномочий этого типа предоставьте следующие данные:
AWS Access Key – ключ доступа к AWS Secrets Manager.
AWS Secret Key – пароль для доступа к AWS Secrets Manager.
TLS:
требуется валидный сертификат на стороне AWS;
отключить проверку нельзя.
URL: нельзя изменить.
Bitbucket Data Center HTTP Access Token#
Важно
Эта часть документации находится в стадии разработки.
Centrify Vault Credential Provider Lookup#
Полномочия этого типа предоставляют доступ к системе управления секретами Centrify Vault Credential Provider.
TLS:
требуется валидный сертификат на стороне Centrify Vault Credential Provider;
отключить проверку нельзя.
URL:
задается при создании полномочий;
по умолчанию при указании доменного имени используется протокол
https, при необходимости его можно изменить в поле URL.
CyberArk Central Credential Provider Lookup#
Полномочия этого типа предоставляют доступ к системе управления секретами CyberArk Central Credential Provider. Для использования данной интеграции требуется запущенный веб-сервис хранения секретов CyberArk Central Credential Provider.
TLS:
требуется валидный сертификат на стороне CyberArc Central Credential Provider;
проверку можно отключить.
URL:
задается при создании полномочий;
по умолчанию при указании доменного имени используется протокол
https, при необходимости его можно изменить в поле URL.
CyberArk Conjur Secrets Manager Lookup#
Полномочия этого типа предоставляют доступ к системе управления секретами CyberArk Conjur Secrets Manager.
TLS:
требуется валидный сертификат на стороне CyberArk Conjur Secrets Manager;
отключить проверку нельзя.
URL:
задается при создании полномочий;
по умолчанию при указании доменного имени используется протокол
https, при необходимости его можно изменить в поле URL.
Google Compute Engine#
Полномочия этого типа предоставляют доступ к списку управляемых узлов в Google Compute Engine с реквизитами сервисной учетной записи.
Для создания полномочий этого типа необходимо предоставить следующие данные о сервисной учетной записи Google Compute Cloud:
адрес электронной почты;
закрытый ключ RSA, связанный с указанным адресом электронной почты.
Совет
Для автоматического заполнения реквизитов сервисной учетной записи Google Compute Cloud можно использовать файл в формате JSON. Пошаговые инструкции по созданию такого файла см. в документации Google Compute Cloud.
TLS:
требуется валидный сертификат на стороне Google Compute Cloud;
отключить проверку нельзя.
URL: для этого типа полномочий всегда используется протокол https.
HashiCorp Vault Secret Lookup#
Полномочия этого типа предоставляют доступ к учетным данным, хранящимся в хранилище секретов HashiCorp Vault.
Для создания полномочий этого типа необходимо предоставить следующие данные:
URL сервера HashiCorp Vault.
Учетные данные для доступа к серверу HashiCorp Vault.
Номер версии API.
Подробности об использовании хранилища секретов HashiCorp Vault см. в соответствующей секции.
TLS:
требуется валидный сертификат на стороне сервера HashiCorp Vault;
отключить проверку нельзя.
URL:
задается при создании полномочий;
по умолчанию при указании доменного имени используется протокол
https, при необходимости его можно изменить в поле URL.
HashiCorp Vault Signed SSH#
Полномочия этого типа предоставляют доступ к приватным ключам SSH, хранящимся в HashiCorp Vault.
Для создания полномочий этого типа необходимо предоставить следующие данные:
URL сервера HashiCorp Vault;
учетные данные для доступа к серверу HashiCorp Vault;
номер версии API.
Подробности об использовании хранилища секретов HashiCorp Vault см. в соответствующей секции.
TLS:
требуется валидный сертификат на стороне сервера HashiCorp Vault;
отключить проверку нельзя.
URL: задается при создании полномочий.
Insights#
Полномочия этого типа предоставляют доступ к списку управляемых узлов в Red Hat Insights.
TLS:
требуется валидный сертификат на стороне сервера Red Hat Insights;
отключить проверку нельзя.
URL: для этого типа полномочий всегда используется протокол https.
Microsoft Azure Key Vault#
Полномочия этого типа предоставляют доступ к секретам, хранящимся в Microsoft Azure Key Vault.
TLS:
требуется валидный сертификат на стороне Microsoft Azure Key Vault;
отключить проверку нельзя.
URL:
задается при создании полномочий;
по умолчанию при указании доменного имени используется протокол
https, при необходимости его можно изменить в поле URL.
OpenStack#
Полномочия этого типа предоставляют доступ к списку управляемых узлов в OpenStack.
TLS:
требуется валидный сертификат на стороне сервера OpenStack;
отключить проверку нельзя.
URL:
задается при создании полномочий;
по умолчанию при указании доменного имени используется протокол
https, при необходимости его можно изменить в поле URL.
Red Hat Satellite 6#
Полномочия этого типа предоставляют доступ к списку управляемых узлов в Red Hat Satellite 6.
TLS:
требуется валидный сертификат на стороне сервера Red Hat Satellite 6;
отключить проверку нельзя.
URL:
задается при создании полномочий;
по умолчанию при указании доменного имени используется протокол
https, при необходимости его можно изменить в поле URL.
Thycotic DevOps Secrets Vault#
Полномочия этого типа предоставляют доступ к системе управления секретами Thycotic DevOps Secrets Vault.
TLS:
требуется валидный сертификат на стороне сервера Thycotic DevOps Secrets Vault;
отключить проверку нельзя.
URL: задается при создании полномочий.
Thycotic Secret Server#
Полномочия этого типа предоставляют доступ к серверу секретов Thycotic Secret Server.
TLS:
требуется валидный сертификат на стороне Thycotic Secret Server;
отключить проверку нельзя.
URL:
задается при создании полномочий;
по умолчанию при указании доменного имени используется протокол
https, при необходимости его можно изменить в поле URL.
Vault#
Полномочия этого типа предоставляют доступ к секретам, защищенным с помощью Ansible Vault.
Если необходим доступ к нескольким хранилищам, необходимо предоставить соответствующие им идентификаторы Vault.
TLS: не используется.
URL: не используется.
VMware vCenter#
Полномочия этого типа предоставляют доступ к списку управляемых узлов в VMware vCenter.
TLS:
требуется валидный сертификат на стороне сервера VMware vCenter;
проверку можно отключить в настройках коллекции
community.vmware.vmware_guest.
URL:
задается при создании полномочий;
по умолчанию при указании доменного имени используется протокол
https, при необходимости его можно изменить в поле URL.
Web-сервисы Amazon#
Полномочия этого типа предоставляют доступ к списку управляемых узлов в Web-сервисах Amazon.
Для создания полномочий этого типа необходимо предоставить следующие данные Web-сервисов Amazon:
публичный ключ доступа;
секретный ключ.
TLS:
требуется валидный сертификат на стороне AWS;
отключить проверку нельзя.
URL: для этого типа полномочий всегда используется протокол https.
Виртуализация Red Hat#
Полномочия этого типа предоставляют доступ к расширению (plug-in) инвентаря oVirt4.py, которым управляют с помощью Виртуализации Red Hat.
TLS:
требуется валидный сертификат на стороне сервера Red Hat Virtualization;
отключить проверку нельзя.
URL:
задается при создании полномочий;
по умолчанию при указании доменного имени используется протокол
https, при необходимости его можно изменить в поле URL.
Диспетчер ресурсов Microsoft Azure#
Полномочия этого типа предоставляют доступ к списку управляемых узлов в Диспетчере ресурсов Microsoft Azure.
TLS:
требуется валидный сертификат на стороне Microsoft Azure;
отключить проверку нельзя.
URL: при указании доменного имени всегда используется протокол https.
Конфигурация terraform backend#
Полномочия этого типа предоставляют доступ к удаленному Terraform backend.
TLS:
требуется валидный сертификат на стороне Terraform backend;
отключить проверку нельзя.
URL:
задается при создании полномочий;
по умолчанию при указании доменного имени используется протокол
https, при необходимости его можно изменить в поле URL.
Личный токен доступа к GitFlic#
Используя полномочия этого типа, Automation Controller через webhook получает доступ к нужным типам событий, происходящих в репозиториях GitFlic. Контроллер реагирует на них, запуская задания и потоки заданий.
TLS:
требуется валидный сертификат на стороне платформы Astra Automation;
отключить проверку нельзя.
URL: URL обратного вызова автоматически создаются платформой при создании полномочий.
Личный токен доступа к GitHub#
Используя полномочия этого типа, Automation Controller через webhook получает доступ к нужным типам событий, происходящих в репозиториях GitHub. Контроллер реагирует на них, запуская задания и потоки заданий.
Пошаговые инструкции по созданию токена см. в документации GitHub.
TLS:
требуется валидный сертификат на стороне платформы Astra Automation;
отключить проверку нельзя.
URL:
URL обратного вызова автоматически создаются платформой при создании полномочий;
для этого типа полномочий всегда используется протокол
https.
Машина#
Полномочия этого типа предоставляют доступ к управляемым узлам по SSH. Поддерживается аутентификация по паролю и ключам SSH, созданным с применением различных алгоритмов.
При настройке полномочия можно выбрать один из следующих способов повышения привилегий:
sudo;
su;
pbrun;
pfexec;
dzdo;
pmrun;
runas;
enable;
doas;
ksu;
machinectl;
sesu.
Использование этой настройки эквивалентно выполнению команды ansible-playbook с параметром --become-method=<method>.
TLS: валидный сертификат не требуется.
URL: не используется.
Открытый ключ GPG#
Полномочия этого типа используются для проверки подписи содержимого, полученного из внешних источников.
TLS: не используется.
URL: не используется.
Платформа автоматизации Red Hat Ansible#
Полномочия этого типа предоставляют доступ к Платформе автоматизации Red Hat Ansible.
TLS:
требуется валидный сертификат;
проверку можно отключить.
URL:
задается при создании полномочий;
по умолчанию при указании доменного имени используется протокол
https, при необходимости его можно изменить в поле URL.
Реестр контейнеров#
Полномочия этого типа предоставляют доступ к различным хранилищам образов, например:
TLS:
требуется валидный сертификат на стороне реестра контейнеров;
отключить проверку нельзя.
URL: при указании доменного имени всегда используется протокол https.
Сеть#
Полномочия этого типа используются для управления сетевым оборудованием. К настоящему времени, согласно документации Ansible, он устарел и не рекомендован к использованию. Вместо него рекомендуется использовать тип Машина (Machine).
TLS:
требуется валидный сертификат на стороне сетевого оборудования;
отключить проверку нельзя.
URL: не используется.
Система управления версиями#
Полномочия этого типа предоставляют доступ к системам контроля версий на основе Git и Subversion.
Поддерживается доступ с помощью ключа SSH или с использованием имени пользователя и пароля.
TLS:
требуется валидный сертификат на стороне VCS;
отключить проверку нельзя.
URL: не используется.
Токен доступа OpenShift или Kubernetes API#
Полномочия этого типа используются для создания групп с доступом в контейнеры OpenShift или Kubernetes.
Для обеспечения доступа необходимо предоставить следующие данные:
адрес точки доступа OpenShift или Kubernetes API для аутентификации;
токен.
TLS:
требуется валидный сертификат на стороне кластера OpenShift или Kubernetes;
отключить проверку можно в UI.
URL:
задается при создании полномочий;
по умолчанию при указании доменного имени используется протокол
https, при необходимости его можно изменить в поле URL.
Токен персонального доступа GitLab#
Используя полномочия этого типа, Automation Controller через webhook получает доступ к нужным типам событий, происходящих в репозиториях GitLab. Контроллер реагирует на них, запуская задания и потоки заданий.
Пошаговые инструкции по созданию токена см. в документации GitLab.
TLS:
требуется валидный сертификат на стороне платформы Astra Automation;
отключить проверку нельзя.
URL:
URL обратного вызова автоматически создаются платформой при создании полномочий;
по умолчанию при указании доменного имени используется протокол
https, при необходимости его можно изменить в поле URL.