Não encontrei em nenhum lugar qual é a melhor prática para usar o Ansible por vários administradores. Gostaríamos de fazer login com chaves SSH para controlar a máquina e os controles remotos.
É a melhor maneira de fazer isso:
Criar para cada administrador sua própria conta na máquina de controle e depois usar BECOME to SSH para hosts remotos com uma conta geral com direitos sudo em controles remotos? Com esta solução, apenas a chave privada armazenada na máquina de controle seria para o usuário geral.
Criar uma conta própria para cada administrador em máquinas remotas e de controle e permitir que eles usem SSH para controles remotos com sua própria conta? Esta solução significa basicamente que teríamos que armazenar chaves privadas para cada administrador na máquina de controle.
Obrigado pela ajuda.
Responder1
eu digoOpção 1. Para auditoria, você pode focar noTorreservidor de controle para ver quais trabalhos foram executados e o que fizeram, e quem os acionou.
opção 2fede porque:
- Não é bem dimensionado, adicionar e remover administradores de sua equipe de administração ansible exige que você atualize cada nó novamente.
- Não aumenta a visibilidade, pois você já sabe quem executou o quê no servidor de controle
- Não aumenta a segurança, pois cada usuário passa pelo
becomemódulo antes de agir.