Management von secrets

[The-Compiler]

Via pass und dem entsprechenden Ansible-Plugin.

Dann ein separates private repo, was die deploy-keys enthält. Das muss dann einfach am richtigen Ort vorhanden sein, wenn man das Deployment macht.

[The-Compiler]

Ich habe das nun mal so gelöst, dass ich direkt das bestehende "pass"-Repository nehme. So sind erstmal alle Credentials (auch wenn mal wer von Hand auf die Datenbank zugreifen will oder so) an einem Ort. Ich schlag vor, wir kümmern uns dann um das splitten, sobald wir automatisches Deployment machen.

Wobei: Ev. reicht es ja auch erstmal, einfach die Django-Applikation automatisch zu deployen, und nicht den Ansible-Teil. Dann braucht man ggf. die Secrets auch gar nicht für CI/CD, und wir können uns das Splitten komplett sparen - ausser wir wollen, dass Leute das Ansible-Deployment machen können, aber keinen Zugriff auf den Rest der Secrets haben. Das scheint mir aber unwahrscheinlich - wenn jemand root auf studentenportal.ch hat, dann kann die Person wohl auch die anderen Passworte haben.

@fabianhauser wie siehst du das? Was war nochmals der Grund, dass wir das ursprünglich mit einem separaten pass-Repo machen wollten?

[fabianhauser]

Passt so für mich @The-Compiler. Falls möglich, würde ich später (in einem Folgeprojekt) auch das Ansible Deployment automatisieren - aber das hat vorübergehend keine Priorität. (Im Pass hat es ja auch Passwörter, z.B. für das E-Mail-Postfach, die für das Deployment nicht nötig sind/sein werden, daher würde ich das dort trennen.)

[The-Compiler]

Erledigt im wip-branch. Um die Trennung können wir uns dann kümmern, wenn wir das Ansible-Deployment automatisieren wollen.