Ansible Tower / AWX / Automation controller Security

支持 HackTricks

基本信息

Ansible Tower 或其开源版本 AWX 也被称为 Ansible 的用户界面、仪表板和 REST API。通过 基于角色的访问控制、作业调度和图形化库存管理,您可以通过现代用户界面管理您的 Ansible 基础设施。Tower 的 REST API 和命令行界面使其易于集成到当前工具和工作流程中。

Automation Controller 是 Ansible Tower 的一个更新版本,具有更多功能。

区别

根据 这篇文章,Ansible Tower 和 AWX 之间的主要区别在于获得的支持,Ansible Tower 具有额外的功能,如基于角色的访问控制、对自定义 API 的支持和用户定义的工作流程。

技术栈

  • Web 界面:这是用户可以管理库存、凭据、模板和作业的图形界面。它旨在直观,并提供可视化以帮助理解自动化作业的状态和结果。

  • REST API:您可以在 Web 界面中执行的所有操作,也可以通过 REST API 执行。这意味着您可以将 AWX/Tower 与其他系统集成或编写通常在界面中执行的操作脚本。

  • 数据库:AWX/Tower 使用数据库(通常是 PostgreSQL)来存储其配置、作业结果和其他必要的操作数据。

  • RabbitMQ:这是 AWX/Tower 用于在不同组件之间通信的消息系统,特别是在 Web 服务和任务运行器之间。

  • Redis:Redis 作为缓存和任务队列的后端。

逻辑组件

  • 库存:库存是一个 主机(或节点)的集合,可以对其 运行作业(Ansible 剧本)。AWX/Tower 允许您定义和分组库存,并支持动态库存,可以 从其他系统获取主机列表,如 AWS、Azure 等。

  • 项目:项目本质上是一个 Ansible 剧本的集合,来源于 版本控制系统(如 Git),以便在需要时提取最新的剧本。

  • 模板:作业模板定义 特定剧本将如何运行,指定 库存凭据 和其他 参数

  • 凭据:AWX/Tower 提供了一种安全的方式来 管理和存储秘密,如 SSH 密钥、密码和 API 令牌。这些凭据可以与作业模板关联,以便剧本在运行时具有必要的访问权限。

  • 任务引擎:这是魔法发生的地方。任务引擎基于 Ansible 构建,负责 运行剧本。作业被分派到任务引擎,然后使用指定的凭据在指定的库存上运行 Ansible 剧本。

  • 调度程序和回调:这些是 AWX/Tower 中的高级功能,允许 作业在特定时间调度运行 或由外部事件触发。

  • 通知:AWX/Tower 可以根据作业的成功或失败发送通知。它支持多种通知方式,如电子邮件、Slack 消息、webhooks 等。

  • Ansible 剧本:Ansible 剧本是配置、部署和编排工具。它们以自动化、可重复的方式描述系统的期望状态。剧本使用 YAML 编写,利用 Ansible 的声明性自动化语言描述需要执行的配置、任务和步骤。

作业执行流程

  1. 用户交互:用户可以通过 Web 界面REST API 与 AWX/Tower 交互。这些提供了对 AWX/Tower 提供的所有功能的前端访问。

  2. 作业启动

  • 用户通过 Web 界面或 API,根据 作业模板 启动作业。

  • 作业模板包括对 库存项目(包含剧本)和 凭据 的引用。

  • 在作业启动时,向 AWX/Tower 后端发送请求以将作业排队执行。

  1. 作业排队

  • RabbitMQ 处理 Web 组件与任务运行器之间的消息传递。一旦作业启动,消息将通过 RabbitMQ 发送到任务引擎。

  • Redis 作为任务队列的后端,管理等待执行的排队作业。

  1. 作业执行

  • 任务引擎 拾取排队的作业。它从 数据库 中检索与作业相关的剧本、库存和凭据的必要信息。

  • 使用从相关 项目 中检索的 Ansible 剧本,任务引擎在指定的 库存 节点上使用提供的 凭据 运行剧本。

  • 当剧本运行时,其执行输出(日志、事实等)被捕获并存储在 数据库 中。

  1. 作业结果

  • 一旦剧本完成运行,结果(成功、失败、日志)将保存到 数据库 中。

  • 用户可以通过 Web 界面查看结果或通过 REST API 查询结果。

  • 根据作业结果,可以发送 通知 以告知用户或外部系统作业的状态。通知可以是电子邮件、Slack 消息、webhooks 等。

  1. 外部系统集成

  • 库存 可以从外部系统动态获取,允许 AWX/Tower 从 AWS、Azure、VMware 等来源提取主机。

  • 项目(剧本)可以从版本控制系统中获取,确保在作业执行期间使用最新的剧本。

  • 调度程序和回调 可用于与其他系统或工具集成,使 AWX/Tower 对外部触发器做出反应或在预定时间运行作业。

AWX 实验室创建以进行测试

按照文档 可以使用 docker-compose 运行 AWX:

git clone -b x.y.z https://github.com/ansible/awx.git # Get in x.y.z the latest release version

cd awx

# Build
make docker-compose-build

# Run
make docker-compose

# Or to create a more complex env
MAIN_NODE_TYPE=control EXECUTION_NODE_COUNT=2 COMPOSE_TAG=devel make docker-compose

# Clean and build the UI
docker exec tools_awx_1 make clean-ui ui-devel

# Once migrations are completed and the UI is built, you can begin using AWX. The UI can be reached in your browser at https://localhost:8043/#/home, and the API can be found at https://localhost:8043/api/v2.

# Create an admin user
docker exec -ti tools_awx_1 awx-manage createsuperuser

# Load demo data
docker exec tools_awx_1 awx-manage create_preload_data

RBAC

支持的角色

权限最高的角色称为 系统管理员。拥有此角色的任何人都可以 修改任何内容

白盒安全 审查的角度来看,您需要 系统审计员角色,该角色允许 查看所有系统数据,但无法进行任何更改。另一个选择是获取 组织审计员角色,但获取前者会更好。

展开以获取可用角色的详细描述
  1. 系统管理员

  • 这是具有访问和修改系统中任何资源权限的超级用户角色。

  • 他们可以管理所有组织、团队、项目、库存、作业模板等。

  1. 系统审计员

  • 拥有此角色的用户可以查看所有系统数据,但无法进行任何更改。

  • 此角色旨在用于合规性和监督。

  1. 组织角色

  • 管理员:对组织资源的完全控制。

  • 审计员:对组织资源的只读访问。

  • 成员:在组织中的基本成员,没有任何特定权限。

  • 执行:可以在组织内运行作业模板。

  • 读取:可以查看组织的资源。

  1. 项目角色

  • 管理员:可以管理和修改项目。

  • 使用:可以在作业模板中使用该项目。

  • 更新:可以使用 SCM(源代码管理)更新项目。

  1. 库存角色

  • 管理员:可以管理和修改库存。

  • 临时:可以在库存上运行临时命令。

  • 更新:可以更新库存源。

  • 使用:可以在作业模板中使用库存。

  • 读取:只读访问。

  1. 作业模板角色

  • 管理员:可以管理和修改作业模板。

  • 执行:可以运行作业。

  • 读取:只读访问。

  1. 凭证角色

  • 管理员:可以管理和修改凭证。

  • 使用:可以在作业模板或其他相关资源中使用凭证。

  • 读取:只读访问。

  1. 团队角色

  • 成员:团队的一部分,但没有任何特定权限。

  • 管理员:可以管理团队成员和相关资源。

  1. 工作流角色

  • 管理员:可以管理和修改工作流。

  • 执行:可以运行工作流。

  • 读取:只读访问。

支持 HackTricks

Last updated