각각이 업데이트될 때마다 수천 개의 시스템에서 데이터베이스로 컬을 통해 자격 증명을 전달해야 합니다. 자격 증명이 허용되지 않는 팀이 스크립트를 실행해야 합니다. 따라서 업데이트 팀에서 사용자 이름/비밀번호를 숨기고 싶습니다.
답변1
자격 증명이 허용되지 않는 팀이 스크립트를 실행해야 합니다.
본질적으로 불가능합니다. 이 팀이 자격 증명에 액세스하도록 허용되지 않으면 팀이 자신의 계정으로 실행하는 스크립트도 자격 증명에 액세스할 수 없습니다. 또는 스크립트가 그렇게 할 수 있다면 스크립트가 수행하는 모든 작업을 복제하여 인간도 할 수 있습니다.
필요한 모든 작업(필요한 작업만)을 수행하는 자격 증명을 수신하고 액세스할 수 있는 서버에 대한 RPC에 대한 액세스 권한을 부여하는 것을 고려해 보셨나요? 아니면 sudo권한 있는 계정에서 이 스크립트만 실행하도록 하는 데 사용합니까(이 경우 다른 인수를 전달하여 스크립트가 잘못된 작업을 수행하지 않도록 하십시오)?