我需要透過curl 將憑證從數千個系統傳遞到資料庫,因為每個系統都會更新。不允許獲得憑證的團隊應執行該腳本。因此,我想向更新團隊隱藏用戶名/密碼。
答案1
不允許獲得憑證的團隊應執行該腳本。
本質上是不可能的。如果不允許該團隊存取憑證,那麼他們在自己的帳戶下執行的腳本也將無法存取憑證。或者,如果腳本可以做到這一點,那麼人類也可以透過複製腳本所做的任何事情來做到這一點。
您是否考慮過讓他們存取 RPC 到伺服器,該伺服器偵聽並有權存取憑證來執行他們需要執行的任何操作(並且僅執行他們需要執行的操作)?或者sudo讓他們在特權帳戶下運行此腳本,並且僅運行此腳本(在這種情況下,透過傳遞不同的參數來確保腳本不會做任何錯誤的事情)?