假设我是拥有所有 AWS 权限的 AWS 超级用户。
我已经配置了 AWS 胶水,包括使用用户名和密码连接到数据库。
我已将用户名和密码存储在 AWS 机密管理器中,胶水的 ETL 作业脚本将使用此信息连接数据库,然后运行 ETL 作业。
ETL Data 工程师没有超级用户权限。但他们知道如何编写 ETL 作业脚本的详细信息。并且脚本需要先获取机密信息,也就是说工程师可以编写代码打印出密码……而且我们有很多数据工程师……</p>
我的问题是:控制秘密管理员密码访问的正确策略是什么?
1) 我们应该允许 ETL 数据工程师更新脚本以粘合并运行它吗?然后他们可以看到密码,或者
2) 我们是否只允许他们编写 ETL 脚本,但让超级用户在查看代码后更新脚本以粘合?或者
3)我们有办法将ETL作业脚本代码和get_password代码分开吗?
注意,我知道如何使用 IAM,标签来控制秘密管理器。但我的问题不同。