// 벤더별 또는 채널별 vault 자격증명 회전 절차. vault/{linux,windows,esxi}.yml + vault/redfish/{vendor}.yml의 password / username 갱신 안내. ansible-vault rekey 또는 외부 BMC 사용자 자체 변경. 사용자가 "Dell vault 회전", "vault password 변경", "rotate" 등 요청 시. - 분기/반기 정기 회전 / BMC 사용자 변경 / 보안 사고 대응 / 자격증명 stale 발견
[HINT] Download the complete skill directory including SKILL.md and all related files
| name | rotate-vault |
| description | 벤더별 또는 채널별 vault 자격증명 회전 절차. vault/{linux,windows,esxi}.yml + vault/redfish/{vendor}.yml의 password / username 갱신 안내. ansible-vault rekey 또는 외부 BMC 사용자 자체 변경. 사용자가 "Dell vault 회전", "vault password 변경", "rotate" 등 요청 시. - 분기/반기 정기 회전 / BMC 사용자 변경 / 보안 사고 대응 / 자격증명 stale 발견 |
server-exporter Vault 자격증명을 안전하게 회전. 두 가지 시나리오:
ansible-vault rekey)# 1. 백업 (안전)
cp vault/redfish/dell.yml /tmp/dell-vault.bak
# 2. 새 password로 rekey
ansible-vault rekey vault/redfish/dell.yml
# (기존 password 입력 → 새 password 입력 2회)
# 3. Jenkins credentials 갱신
# (Jenkins UI → Credentials → ANSIBLE_VAULT_PASSWORD 갱신)
# 4. 검증
ansible-vault view vault/redfish/dell.yml
# (새 password로 read 가능한지)
# 1. 외부 시스템 (BMC / iDRAC / iLO)에서 사용자 password 변경
# → BMC 운영자가 수행 (server-exporter는 read-only)
# 2. 새 자격증명으로 vault 다시 encrypt
ansible-vault edit vault/redfish/dell.yml
# 안에서 vault_redfish_password 갱신
# 3. 검증
ansible-playbook redfish-gather/site.yml \
-i ... -e "target_ip=10.x.x.1" \
--vault-password-file ~/.vault_pass
# 4. evidence 기록
echo "2026-04-27: Dell vault rotation (BMC user 변경)" \
>> tests/evidence/vault-rotation-log.md
ansible-vault create vault/redfish/huawei.yml
# 안에 입력:
# vault_redfish_username: "service_account"
# vault_redfish_password: "..."
| Vault | 권장 주기 |
|---|---|
| vault password (마스터) | 분기 |
| 자격증명 (BMC / Linux / Windows / ESXi) | 반기 또는 사고 시 |
| 새 vendor vault | 추가 시점 (rule 50 R2 9단계) |
vault/redfish/{vendor}.yml 변경 시 다음 ansible 실행에서 자동 반영. 회전 후 별도 캐시 무효화 작업 불필요.
| # | 단서 | 검증 명령 | 기대 결과 |
|---|---|---|---|
| 1 | include_vars cacheable 부재 | grep -rn 'cacheable' redfish-gather/tasks/load_vault.yml | 0 결과 |
| 2 | host facts 미등록 | grep -rn 'cacheable' redfish-gather/tasks/load_vault.yml common/tasks/normalize/ | 0 결과 |
| 3 | vault decrypt 캐시 부재 | grep -rn 'vault_password_file|VAULT_PASSWORD_FILE' ansible.cfg | password file 만 (decrypt 캐시 옵션 없음) |
1. vault edit / rekey 후 vault/redfish/dell.yml 변경
2. 다음 ansible-playbook 실행 시:
- include_vars 가 vault file 디스크에서 새로 read (캐시 없음)
- ansible-vault decrypt 매번 수행 (캐시 없음)
- _rf_vault_data → _rf_accounts (task scope, host facts 영역 아님)
- try_one_account.yml 이 새 password 로 BMC 인증
3. 결과: 새 password 자동 반영 (별도 작업 불필요)
ansible-vault view <vault> — 새 password로 read 가능ansible-playbook --syntax-checkgrep -rn 'cacheable' redfish-gather/tasks/load_vault.yml common/tasks/normalize/ 0 결과ansible.cfg 에 vault decrypt 캐시 옵션 없음 (vault_password_file 만)meta.vendor 정상tests/evidence/vault-rotation-log.md (날짜 + 대상만, password 자체는 절대 기록 안 함)~/.vault_pass)은 chmod 600.swp 파일 잔재 (절대 commit 금지, .gitignore 확인)add-new-vendor, debug-precheck-failure (auth 실패 시)redfish-gather/tasks/load_vault.ymldocs/03_agent-setup.md 보안 부분, docs/21_vault-operations.md (M-C 결과 정본)docs/ai/references/ansible/ansible-vault.md.claude/ 안에 보관 (Jenkins controller 책임)