ansible - 如何设置剧本以在从引擎运行时使用保险库，并在从 Tower/AWX 运行时跳过保险库

我找不到涵盖此特定主题的文档或问答。我将它与答案一起发布在这里，希望有人觉得它有用。我是一小群自动化工程师中的一员。一项任务是在 Tower 中为其他工程师和管理员提供自动化。

自动化团队对我们当前的设置感到满意，它允许我们从命令行运行游戏而无需锁定我们的帐户，无需每次都输入密码，也无需以纯文本形式存储密码：

我们使用存储在每个管理员配置文件中的 ansible 保险库来存储加密的登录凭据以及 gpg 装甲密钥。每个保管库都使用相同的名称，类似于~/.ansible/vault.yml
脚本提取密钥并解锁保险库。
该脚本在 ansible.cfg, [defaults], vault_identity_list 中定义。
剧本用 vars_files 加载保险库

处于作业隔离模式的 Tower 无法访问主目录。而且我们不希望 Vault+key 在管理员的主文件夹之外，受到随机窥探。Tower 有自己的保险库系统，我们在使用 Tower 时会使用它。我们希望保持我们当前的命令行运行方法，但能够在 Tower 和 Engine 中使用相同的剧本。

我试过了：

强制塔读取保险库。（不高兴）
带保险库的剧本已注释掉。 （这在塔中有效，但我不得不切换评论以从命令行运行。作为最后的手段，在其中放置一个别针。）
当 ansible_user 不是 awx 时，使用条件仅加载 vars_files。 （猜猜看，它仍然以触发作业的用户身份运行。在其中放置一个大头针以找到另一个一致的变量，并表明塔是平台。）
在塔内使用标签和跳过标签来跳过 vars_files （不高兴。标签不适用于 vars_files:)

标签： ansibleansible-awxansible-tower

我发现有效的方法：

所以：

pre_tasks:
- include_vars: ~/.ansible/vault.yml
  tags: engine

并且，在 Tower 中，将作业模板设置为skip-tags: engine

现在，同样的剧本在塔内或塔外都有效。使用最少的身份验证。没有明文密码。