Для этого вы и создаете инвентори, что бы отделить мух и котлеты. Устройство которые не умеет в пароль, передается или руками команда или прописывается в hosts. Еще вариант развернуть awx и там указывать в закрытом виде логины и пароли. Vault в ansible для других целей  - ну и  немного документации

When speaking with remote machines, Ansible by default assumes you are using SSH keys. SSH keys are encouraged but password authentication can also be used where needed by supplying the option --ask-pass. If using sudo features and when sudo requires a password, also supply --ask-become-pass (previously --ask-sudo-pass which has been deprecated).

в теории можно сотворить дичь в виде создать переменную в group_vars/all  ->  ssh_pass: "{{ vault_ansible_ssh_pass }}"

и сделать потом - host_vars/server1.example.com > vault_ansible_ssh_pass: "my secret password"

ansible-vault encrypt inventories/atlanta/host_vars/server*/vault --vault-password-file ~/.vault_pass.txt

но так делать не надо

В смысле как пробросить эти переменные в команду? Я, мягко говоря, не devops, но делаю вот так (это я для Django выполняю CLI-команду и передаю туда секьюрные данные для создания суперюзера):

- name: Create superuser
  shell: 'docker exec calc_ok_app_1 python manage.py create_superuser_noinput --user={{ wagtail_admin_name }} --password={{ wagtail_admin_password }} --email={{ wagtail_admin_email }}'

А храню сами переменные секьюрные так, как выше написал. То есть Волтом я ничего не шифровал, т.к. в этом нет нужды (файл с паролями не под Гитом)

- name: Create superuser
  shell: 'docker exec calc_ok_app_1 python manage.py create_superuser_noinput --user={{ wagtail_admin_name }} --password={{ wagtail_admin_password }} --email={{ wagtail_admin_email }}'

т.е. все равно плейбуком

А как ещё?

ну если нужна разовая короткая команда, которую нужно выполнить на 2-3 устройствах. плейбук создавать может быть нецелесообразно

т.к. времени может уйти столько-же

суть вопроса так и осталась, хотя я уже понял что нельзя -
можно ли запустить простую команду, использую vault без плейбука?

Это не оно? https://serverfault.com/questions/907739/ad-hoc-ansible-command-with-vault

похоже, спасибо тебе, мил человек

Коллеги, как избавиться от замены параметра на VALUE_SPECIFIED_IN_NO_LOG_PARAMETER,
добавление в конфиг

display_args_to_stdout = true

и в  плэйбук

no_log: true

не помогают

display_args_to_stdout = true

no_log: true

ANSIBLE_DISPLAY_ARGS_TO_STDOUT выставить в True?

добавление в конфиг
display_args_to_stdout = true
является тем же самым. И да, с командной строки задал и так в тру. тоже не помогло.

а no_log: true имеет обратный эфект, его нужно наоборот убрать

переделал в фолс. так же 0 эффекта. остаётся только копать в ansible 2.9.18 и postgresql_query который собственно использую

Если банальная х..ня не идёт... может бубен отложить и набухаться?