Как хранить извлеченные файлы в хранилище?

Используя Ansible, я извлекаю файл с модулем fetch на свой локальный компьютер, на котором запущена книга воспроизведения Ansible:

- name: Copy a secret file from the master server.
  fetch:
    src: '{{ item }}'
    dest: roles/secrets/shared/{{ item }}
    flat: yes
  with_items:
    - /etc/my_secret.conf

Затем я шифрую его с помощью ansible-vault, а затем использую этот зашифрованный файл для копирования на подчиненные серверы.

Каков наилучший подход для автоматического выполнения части шифрования, чтобы она была как можно более идемпотентной?

Я думал о том, чтобы получить временную рабочую копию, затем зашифровать ее и, наконец, сравнить с фактическим зашифрованным файлом, чтобы определить, нужно ли его обновлять. Но будет ли это эффективно? И это породило бы много измененных задач. Может ли это быть реализовано как-то еще?

Вероятно, лучшим способом было бы определить, эквивалентен ли зашифрованный локальный файл удаленному незашифрованному файлу, и соответственно пропустить задачу извлечения. Но ты можешь сделать это?