Ansible でデフォルトの特権昇格方法を設定する方法

はじめに

Ansible は、リモートシステムの管理を簡素化する強力な自動化ツールです。Ansible を使用する際には、プレイブックを安全かつ効率的に実行するために、デフォルトの特権昇格方法を理解して設定することが重要です。このチュートリアルでは、Ansible でデフォルトの特権昇格方法を設定する手順を説明します。

Skills Graph

特権昇格の理解

特権昇格は Ansible における基本的な概念で、ターゲットホスト上で拡張された権限でタスクを実行できるようにします。これは、ソフトウェアのインストール、システム設定の変更、サービスの管理など、特定のアクションを実行するために管理者または root レベルのアクセスが必要なシステムを管理する際に特に重要です。

Ansible では、デフォルトの特権昇格方法は sudo で、これにより Ansible プレイブックはターゲットホスト上で sudo ユーザーの権限でコマンドを実行できます。ただし、Ansible は、ターゲットシステムの要件に応じて、su、pbrun、pfexec、doas、runas などの他の特権昇格方法もサポートしています。

Ansible における特権昇格の重要性を理解するために、次のシナリオを考えてみましょう。

- hosts: webservers
  tasks:
    - name: Install Apache web server
      apt:
        name: apache2
        state: present

この例では、Apache Web サーバーをインストールするタスクには、ターゲットホスト上での管理者権限が必要です。適切な特権昇格方法なしで Ansible プレイブックを実行すると、タスクは失敗し、Web サーバーはインストールされません。

Ansible でデフォルトの特権昇格方法を設定することで、拡張された権限が必要なすべてのタスクが、個々のタスクごとに昇格方法を指定することなく、正常に実行されることを保証できます。

デフォルトの昇格方法の設定

Ansible でデフォルトの特権昇格方法を設定するには、Ansible 設定ファイル（通常は ansible.cfg）またはプレイブックで become および become_method オプションを使用できます。

ansible.cfg での設定

ansible.cfg ファイルでは、次の設定を使用してデフォルトの特権昇格方法を設定できます。

[privilege_escalation]
become=yes
become_method=sudo

この設定により、デフォルトの特権昇格方法が sudo に設定されます。ターゲットシステムの要件に応じて、become_method の値を su、pbrun、pfexec、doas、または runas などの他のサポートされている方法に変更できます。

プレイブックでの設定

あるいは、プレイまたはタスクレベルで become および become_method オプションを使用して、Ansible プレイブック内で直接デフォルトの特権昇格方法を設定することもできます。例えば：

- hosts: webservers
  become: yes
  become_method: sudo
  tasks:
    - name: Install Apache web server
      apt:
        name: apache2
        state: present

この例では、become および become_method オプションがプレイレベルで設定されています。これは、プレイブック内のすべてのタスクがデフォルトで sudo 特権昇格方法を使用することを意味します。

特定のタスクに異なる昇格方法を使用する必要がある場合は、タスクレベルで become および become_method オプションを設定することもできます。

- hosts: webservers
  tasks:
    - name: Install Apache web server
      apt:
        name: apache2
        state: present
      become: yes
      become_method: sudo

デフォルトの特権昇格方法を設定することで、Ansible プレイブックが適切な権限でタスクを実行することを保証でき、個々のタスクごとに昇格方法を指定する必要がなくなります。

プレイブックでの特権昇格の適用

これで Ansible でデフォルトの特権昇格方法を設定する方法がわかったので、それをプレイブックでどのように適用するかを見てみましょう。

プレイレベルでの特権昇格

前に述べたように、プレイレベルで become および become_method オプションを設定することで、プレイ内のすべてのタスクにデフォルトの特権昇格方法を適用できます。これは、拡張された権限が必要なすべてのタスクが正常に実行されることを保証する便利な方法です。

- hosts: webservers
  become: yes
  become_method: sudo
  tasks:
    - name: Install Apache web server
      apt:
        name: apache2
        state: present
    - name: Start Apache service
      service:
        name: apache2
        state: started

この例では、become および become_method オプションがプレイレベルで設定されています。これは、「Install Apache web server」と「Start Apache service」の両方のタスクが sudo 特権昇格方法で実行されることを意味します。

タスクレベルでの特権昇格

特定のタスクに異なる特権昇格方法を使用する必要がある場合は、タスクレベルで become および become_method オプションを設定できます。これは、異なるレベルの権限が必要なタスクが混在している場合に便利です。

- hosts: webservers
  tasks:
    - name: Install Apache web server
      apt:
        name: apache2
        state: present
      become: yes
      become_method: sudo
    - name: Start Apache service
      service:
        name: apache2
        state: started
      become: yes
      become_method: su

この例では、「Install Apache web server」タスクは sudo 特権昇格方法を使用し、「Start Apache service」タスクは su 方法を使用しています。

Ansible プレイブックの適切なレベルで特権昇格を適用することで、タスクが必要な権限で実行されることを保証でき、インフラストラクチャ管理の信頼性とセキュリティを向上させることができます。

まとめ

この Ansible チュートリアルでは、デフォルトの特権昇格方法を設定する方法を学びました。これは、リモートシステムをシームレスかつ安全に自動化するために不可欠です。適切な昇格方法を理解して適用することで、Ansible プレイブックが必要な権限で実行されることを保証でき、インフラストラクチャをより効果的に管理および保守することができます。