From eb70df37f1954b51cd7b9c67a31cfb93f82485e7 Mon Sep 17 00:00:00 2001
From: June <june@jsts.xyz>
Date: Sat, 3 May 2025 23:49:06 +0200
Subject: [PATCH] update README and ansible.cfg for usage of SOPS instead of
 password-sto.

---
 README.md   | 6 ++++--
 ansible.cfg | 3 ---
 2 files changed, 4 insertions(+), 5 deletions(-)

diff --git a/README.md b/README.md
index 6906a7f..f97683d 100644
--- a/README.md
+++ b/README.md
@@ -19,8 +19,10 @@ ansible-galaxy install -r requirements.yml
 
 Grundsätzlich sollten Secrets vermieden werden. (Also z.B.: Nutze SSH Keys statt Passwort.)
 
-Da Secrets aber durchaus doch gebraucht werden, werden diese dann in diesem Repo direkt aus dem [password-store](https://git.hamburg.ccc.de/CCCHH/password-store) (meist aus einem Sub-Eintrag des `noc/` Ordners) geladen.
-Dies geschieht mit Hilfe des `community.general.passwordstore` lookup Plugins. 
+Da Secrets aber durchaus doch gebraucht werden, verwenden wir [SOPS](https://github.com/getsops/sops), um Secrets verschlüsselt in diesem Repo zu speichern.  
+SOPS verschlüsselt hier die Secrets nach den "creation rules", welche in der `sops.yaml` festgelegt sind.
+Grundsätzlich werden hier alle Secrets für alle GPG-Keys aller Mitglieder des Infra-Teams verschlüsselt.  
+Das eigentliche Laden der Secrets durch Ansible geschieht mit Hilfe des `community.sops.sops` lookup Plugins, welches entsprechend den lokalen GPG-Key benutzt, um die Secrets zu entschlüsseln.
 
 ## Playbook nur für einzelne Hosts ausführen
 
diff --git a/ansible.cfg b/ansible.cfg
index ca06548..fed728f 100644
--- a/ansible.cfg
+++ b/ansible.cfg
@@ -1,6 +1,3 @@
 [defaults]
 inventory = ./inventories/z9/hosts.yaml
 pipelining = True
-
-[passwordstore_lookup]
-backend = pass