3.2.4　AWX有助于Ansible的凭据管理

为了有效地管理企业Linux环境，Ansible必须具有某种形式的凭据才能访问它管理的所有服务器。SSH身份验证通常使用SSH密钥或口令进行保护，在由Ansible操作员组成的大型团队中，这意味着每个人都可以访问这些口令和SSH私钥，因为它们是Ansible运行所必需的。不用说，这会带来安全风险！

如前所述，从安全的角度来看，这是不可取的，因为太容易复制和粘贴凭据并以不当的方式使用它们了。AWX通过在其数据库中存储所需的凭据来处理此问题，并使用安装时选择的口令短语进行加密。GUI使用可逆加密存储所有凭据，以便在以后运行剧本时将它们传递给Ansible。但是，GUI不允许你看到任何以前输入的敏感数据（如密码或SSH密钥），也就是说，可以输入和更改这些数据，但是不能在GUI中显示密码或SSH密钥，因此操作员不能轻松地利用AWX前端获取凭据信息以供其他地方使用。通过这种方式，AWX可以帮助企业对其凭据进行锁定和密钥管理，并确保它们仅用于Ansible部署，而不会泄露或用于任何其他目的。

Ansible Vault是用来对剧本需要操作的任何敏感数据进行加密的优秀工具，无论是变量形式的剧本数据还是存储服务器凭据（如SSH密钥）本身。尽管Vault高度安全，但如果你有Vault密码，则很容易看到Vault内容（在这里，你需要运行使用Vault的剧本）。因此，AWX提供了独特的功能来辅助Ansible并确保企业环境的安全性。

通过这些方式，AWX有助于解决企业在大规模环境中部署Ansible时面临的许多挑战。在完成本章的这一部分之前，我们将简要地介绍如何将AWX与其他服务集成。