Связывание Jira с Lambda безопасным способом скрыть учетные данные

Question

Мне нужно автоматически создавать проблемы на Jira, когда запускается AWS-лямбда.

Я сделал это, и код работает,

проблема в том, что есть несколько администраторов, которыемогу получить доступ к лямбде, и я не могу оставить свои учетные данные Jira в лямбде.Мы используем установку Jira, установленную компанией, и не можем использовать для этого какие-либо другие учетные данные.

Есть ли обходной путь, чтобы не включать мои учетные данные?, Или может быть приложение для их кодирования - не вспособ, которым любой может его расшифровать (например, base 64)

Любые инновационные идеи будут высоко оценены

Спасибо

Answer 1

Если другие пользователи имеют доступ к консоли AWS с правами администратора, то вы не сможете сохранить учетные данные таким образом, чтобы они не могли получить к ним доступ.

Причина в том, что они могут взять на себя ту же роль, которую использует функция Lambda, или они будут иметь доступ к лямбда-коду, чтобы они могли видеть, какой ключ дешифрования использовать для любых зашифрованных учетных данных.

Возможно, существует решение, при котором вы создаете новую учетную запись AWS, к которой есть доступ только у вас, но она является частью организационной единицы компании, поэтому выставление счетов по-прежнему привязано к основной учетной записи организации, но я не уверен, что вы может заблокировать это таким образом, что администратор компании не сможет получить доступ к вашей учетной записи. Это также будет зависеть от того, как вы обращаетесь к Jira в отношении любых сетевых правил, которые могли быть установлены. Это может потребовать пиринга VPC или аналогичного. Учитывая, что вы не можете получить учетную запись Jira для оперативной работы, я бы предположил, что получение дополнительной учетной записи AWS также не может быть рассмотрено.