pet-project-server/roles/secrets/README.md

Secrets Role

Ansible роль для сохранения секретов на удаленной машине.

Описание

Роль позволяет безопасно сохранять секреты на удаленной машине в виде файлов с ограниченными правами доступа. Поддерживает сохранение переменных как файлов и копирование существующих файлов.

Параметры

Обязательные параметры

• secrets_dest - директория, куда будут сохранены секреты в виде файлов
• secrets_user - имя пользователя, который будет владеть директорией и файлами
• secrets_group - группа, которая будет владеть директорией и файлами (по умолчанию равна secrets_user)

Опциональные параметры

• secrets_vars - список переменных, из которых будут извлечены секреты (по умолчанию: [])
• secrets_files - список файлов, которые будут скопированы "как есть" (по умолчанию: [])
• secrets_dir_mode - права доступа для директории (по умолчанию: 0750)
• secrets_file_mode - права доступа для файлов с секретами (по умолчанию: 0400)

Функциональность

1. Создает директорию secrets_dest если она не существует
2. Сохраняет каждую переменную из secrets_vars как файл с таким же именем
3. Копирует файлы из secrets_files в директорию назначения
4. Устанавливает права доступа 0400 для всех файлов с секретами
5. Назначает указанного пользователя и группу владельцами директории и файлов

Пример использования

- name: Save application secrets
  include_role:
    name: secrets
  vars:
    secrets_dest: /opt/myapp/secrets
    secrets_user: myapp
    secrets_group: myapp
    secrets_vars:
      - database_password
      - api_key
      - jwt_secret
    secrets_files:
      - /path/to/ssl/certificate.pem
      - /path/to/ssl/private.key

Безопасность

• Все файлы с секретами создаются с правами 0400 (только чтение для владельца)
• Директория создается с правами 0750 (полный доступ для владельца, чтение и выполнение для группы)
• Используется no_log: true для предотвращения вывода секретов в логи Ansible