amazon-web-services - 如何控制 AWS Secret Manager 的访问
问题描述
假设我是拥有所有 AWS 权限的 AWS 超级用户。
我已经配置了 AWS 胶水,包括使用用户名和密码连接到数据库。
我已将用户名和密码存储在 AWS 机密管理器中,胶水的 ETL 作业脚本将使用此信息连接数据库,然后运行 ETL 作业。
ETL Data 工程师没有超级用户权限。但他们知道如何编写 ETL 作业脚本的详细信息。并且脚本需要先获取机密信息,也就是说工程师可以编写代码打印出密码……而且我们有很多数据工程师……</p>
我的问题是:控制秘密管理员密码访问的正确策略是什么?
1) 我们应该允许 ETL 数据工程师更新脚本以粘合并运行它吗?然后他们可以看到密码,或者
2) 我们是否只允许他们编写 ETL 脚本,但让超级用户在查看代码后更新脚本以粘合?或者
3)我们有办法将ETL作业脚本代码和get_password代码分开吗?
注意,我知道如何使用 IAM,标签来控制秘密管理器。但我的问题不同。
解决方案
推荐阅读
- r - 数据框每列的累积百分比
- python-3.x - 在 Access 数据库中插入超链接 (pyodbc)
- javascript - 动态创建的按钮无法访问
- html - HTML 标记在 576 像素以下不是 100% 宽度
- postgresql - 使用 spark 从 Postgres 并行读取数据,用于没有整数主键列的表
- spring-boot - Kerberos 客户端 - kerberoRestTemplate 不工作
- python - 按日期合并多个数据框(删除重复项)
- iis - 可以帮我解决 0x80070021 错误吗
- javascript - Array.fill().map() 在反应中不起作用
- svelte - Svelte 不更新子组件