我需要通过curl 将凭证从数千个系统传递到数据库,因为每个系统都会更新。不允许获得凭据的团队应执行该脚本。因此,我想向更新团队隐藏用户名/密码。
答案1
不允许获得凭据的团队应执行该脚本。
本质上是不可能的。如果不允许该团队访问凭据,那么他们在自己的帐户下运行的脚本也将无法访问凭据。或者,如果脚本可以做到这一点,那么人类也可以通过复制脚本所做的任何事情来做到这一点。
您是否考虑过让他们访问 RPC 到服务器,该服务器侦听并有权访问凭据来执行他们需要执行的任何操作(并且仅执行他们需要执行的操作)?或者sudo让他们在特权帐户下运行此脚本,并且仅运行此脚本(在这种情况下,通过传递不同的参数来确保脚本不会做任何错误的事情)?