Réponse rapide
Ansible Vault chiffre les secrets dans les fichiers YAML pour éviter leur exposition dans Git.
ansible-vault create group_vars/all/vault.yml
ansible-vault edit group_vars/all/vault.yml
ansible-playbook -i inventory.ini site.yml --ask-vault-passContexte
En IaC, le risque principal est le secret en clair dans le repo ou dans les logs CI. Vault répond précisément à ce risque.
Organisation recommandée
group_vars/all/main.yml: variables non sensiblesgroup_vars/all/vault.yml: variables sensibles chiffrées
Commandes essentielles
ansible-vault view group_vars/all/vault.yml
ansible-vault rekey group_vars/all/vault.yml
ansible-vault encrypt_string 'token123' --name 'vault_api_token'Cas CI/CD
La doc Ansible recommande une gestion contrôlée du mot de passe Vault (variable protégée, accès restreint, rotation planifiée).
Erreurs fréquentes
- mettre un secret en clair “temporairement”,
- partager le mot de passe Vault sans procédure,
- ne jamais faire de rotation.
Checklist sécurité
- secrets chiffrés
- revue MR
- accès limités
- rotation planifiée
FAQ
Vault remplace-t-il un secret manager ?
Pas forcément, mais c’est une base solide pour beaucoup d’équipes.
Glossaire rapide
- Regex : expression régulière pour décrire un motif de recherche texte.
- MTTR : temps moyen de rétablissement après incident.
- CI/CD : intégration continue / déploiement continu.
- Idempotence : relancer une tâche donne le même état final sans effet secondaire indésirable.
Sources officielles
- man grep
- GNU grep manual
- journalctl (systemd)
- man ss
- Ansible Vault docs
- Ansible Playbooks
- Securing Debian Manual
Conclusion
Ansible Vault est un standard pragmatique pour sécuriser les secrets dans un workflow Ansible.