Become / become_userを使用してAnsible 2.1.0が一時ファイルに権限を設定できない

問題はそれです www-dataは、マシンへの接続に使用するデフォルトの非ルートansibleユーザーが作成した同じファイルにはアクセスできません。また、エラーメッセージは ansibleのドキュメント を明確に示しています。これは、ansible 2.0以下からアップグレードするときにこの問題を修正する必要があるオプションを説明しています。

彼らは問題を適切に修正する3つの方法を提案しています：

• パイプラインを使用します。パイプラインが有効になっている場合、Ansibleはモジュールをクライアント上の一時ファイルに保存しません。代わりに、モジュールをリモートpythonインタープリターのstdinにパイプします。非Pythonモジュールではパイプラインは機能しません。
• 管理対象ホストにファイルシステムACLサポートをインストールします。リモートホストの一時ディレクトリがファイルシステムaclsが有効な状態でマウントされ、setfaclツールがリモートPATHにある場合、Ansibleはファイルシステムaclsを使用して、ファイルを誰でも読み取り可能にする代わりに、権限のない2番目のモジュールとモジュールファイルを共有します。
• 権限のないユーザーになって、リモートマシンでアクションを実行しないでください。 rootになるか、becomを使用しない場合、一時ファイルはUNIXファイルのアクセス権によって保護されます。 Ansible 2.1以降では、rootとして管理対象マシンに接続してから、権限のないアカウントに使用する場合、UNIXファイルのアクセス許可も安全です。

または、これらの修正のいずれも実行できない場合は、ansibleをもう少し安全でない方法（ansible 2以下ではデフォルトのように見えます）に強制することができます。これも問題を修正するはずですが、根本的な問題は修正しません。セキュリティリスク：

問題を解決するために上記の変更を行うことができず、実行中のマシンが十分に安全であると判断した場合、そこで実行したいモジュールは誰でも読めるようになりますallow_world_readable_tmpfiles の中に ansible.cfgファイル。設定allow_world_readable_tmpfilesは、これをエラーから警告に変更し、2.1以前と同じようにタスクを実行できるようにします。