46.1 Sichere Passwortrichtlinien in
Ansible-Umgebungen
Grundprinzipien für starke Passwörter:
Mindestens 12 Zeichen mit Kombination aus Groß-/Kleinbuchstaben,
Zahlen und Sonderzeichen
Keine Wörterbuchbegriffe oder persönliche Informationen
Einzigartige Passwörter für jeden Dienst und jedes System
Regelmäßige Rotation alle 90 Tage für privilegierte Konten
Wichtiger Hinweis: Speichern Sie niemals Passwörter
als Klartext in Ansible-Variablen, auch nicht in
group_vars/ oder host_vars/ Dateien. Verwenden
Sie ausschließlich Ansible Vault für sensible Daten.
46.2 Multi-Faktor-Authentifizierung
(MFA) in AWX/Tower
AWX und Ansible Tower bieten integrierte MFA-Unterstützung für die
Web-Oberfläche:
Konfiguration von MFA in AWX/Tower:
LDAP-Integration: Verbindung mit Active Directory
für zentrale MFA-Verwaltung
SAML-Authentication: Integration mit Identity
Providern wie Okta, Azure AD
Token-basierte Authentifizierung: API-Token mit
begrenzter Lebensdauer
Best Practice: Aktivieren Sie MFA für alle Benutzer
mit privilegierten Rechten (Organization Admin, System Admin).
46.3 Automatisierte
Passwortrotation
Implementieren Sie regelmäßige Rotation für:
Service-Accounts: Automatische Rotation alle 30
Tage
SSH-Schlüssel: Jährliche Erneuerung mit
Overlap-Periode
API-Token: Rotation alle 60 Tage mit nahtlosem
Übergang
Beispiel-Workflow für Service-Account-Rotation:
# Rotation wird über separates Playbook gesteuert-name: Rotate service account passwordsinclude_tasks: rotate_passwords.ymlwhen: rotation_due | default(false)
46.4 Minimale Rechtevergabe
(Principle of Least Privilege)
Rollenverteilung in AWX/Tower:
Read-Only: Für Entwickler ohne
Produktionszugriff
Execute: Für Operations-Teams mit begrenztem
Scope
Admin: Nur für Service-Owner und Team-Leads
System Admin: Ausschließlich für
Platform-Teams
Regelmäßige Reviews: Quartalsweise Überprüfung aller
Benutzerrechte und Rollenzuweisungen.