각 시스템이 업데이트될 때 컬을 통해 수천 개의 시스템에서 데이터베이스로 자격 증명을 전달해야 합니다. 자격 증명을 얻을 수 없는 팀은 이 스크립트를 실행해야 합니다. 따라서 업데이트 팀에서 사용자 이름/비밀번호를 숨기고 싶습니다.
답변1
자격 증명을 얻을 수 없는 팀은 이 스크립트를 실행해야 합니다.
본질적으로 불가능합니다. 팀이 자격 증명에 액세스하도록 허용되지 않으면 팀이 해당 계정으로 실행하는 스크립트도 자격 증명에 액세스할 수 없습니다. 또는 스크립트가 할 수 있는 경우 인간은 스크립트가 수행하는 모든 작업을 복사하여 수행할 수 있습니다.
필요한 모든 작업을 수행하기 위해(그리고 필요한 작업만 수행하기 위해) 자격 증명을 수신하고 액세스할 수 있는 서버에 대한 RPC 액세스를 제공하는 것을 고려해 보셨나요? 아니면 sudo권한 있는 계정으로 이 스크립트를 실행하고 이 스크립트만 실행하도록 합니까(이 경우 스크립트가 잘못된 작업을 수행하지 않도록 다른 인수를 전달하여)?