Предположим, я являюсь суперпользователем AWS, у которого есть все разрешения AWS.
Я настроил клей AWS, включая подключение к базе данных, используя имя пользователя и пароль.
Я сохранил имя пользователя и пароль в секретном менеджере AWS, скрипт задания ETL клея соединит базу данных, используя эту информацию, а затем запустит задание ETL.
ETL Data инженеры не имеют прав суперпользователя. Но они знают, как написать детали сценария работы ETL. И сценарий должен сначала получить секретную информацию, что означает, что инженеры могут написать код для распечатки пароля ... и у нас есть много инженеров данных ...
У меня такой вопрос: какова правильная стратегия для контроля доступа к паролю секретного менеджера?
1) Должны ли мы позволить инженерам данных ETL обновить скрипт для его склеивания и запуска? тогда они могут увидеть пароль, или
2) Должны ли мы позволить им писать сценарий ETL, но позволить суперпользователю обновлять сценарий для склеивания после просмотра кода? или
3) У нас есть способ разделить код сценария задания ETL и код get_password?
Обратите внимание, я знаю, как использовать IAM, теги для управления секретным менеджером. Но мой вопрос другой.