В Ansible для ограничения доступа разным группам пользователей к разным серверам обычно используют комбинацию инвентаря, ролей и механизмов контроля доступа на уровне инфраструктуры и инструментов управления.

Основные подходы:

Разделение инвентаря по группам серверов — создайте разные инвентарь-файлы или группы в одном инвентаре, например [webservers], [dbservers].
Использование ansible.cfg и переменных окружения — для каждого пользователя или группы можно настроить отдельный конфигурационный файл с указанием инвентаря и ограничений.
Роли и плейбуки с ограничениями — в плейбуках явно указывайте, к каким группам серверов применяется задача.
Контроль доступа через систему управления версиями и CI/CD — ограничьте права на запуск определённых плейбуков или доступ к инвентарю.
Использование Ansible Tower / AWX — эти инструменты предоставляют встроенный RBAC (Role-Based Access Control), где можно настроить, какие пользователи или группы могут запускать плейбуки на каких инвентарях.

Пример структуры инвентаря:

[webservers]
web1.example.com
web2.example.com

[dbservers]
db1.example.com

[webadmins:children]
webservers

[dbadmins:children]
dbservers

Затем в Ansible Tower можно назначить группу пользователей webadmins с доступом только к группе webservers.

Если используется только CLI, можно организовать разные инвентари и права на них на уровне ОС, чтобы пользователи имели доступ только к своим инвентарям.

Как ограничить доступ разным группам пользователей к разным серверам в Ansible?