我们在Bluemix(CF)中有1个组织和2个空格:DEV和PROD。
对于DEV开发人员具有完全访问权限。对于PROD开发人员,假设他们具有限制访问权限。
我阅读了有关角色的CF文档,但它没有完全回答我的问题。我知道我们可以为开发人员做到
我的问题 - 有没有办法在这两种方法的中间限制访问。例如 - 在PROD中隐藏开发人员的敏感信息(密码)(我们可以将它们放在环境变量中),并让开发人员对剩余的PROD空间进行读写访问?由于缺乏熟练的资源,开发人员必须管理PROD空间,但可能无法访问敏感信息(例如密码)
答案 0 :(得分:1)
如果您需要向开发人员隐藏的唯一信息是应用环境变量中的那些密码,那么您可以将其取出并将其存储在外部,例如Key Protect Service
然后,应用程序调用Key Protect,检索密码并连接到所需的密码。显然,开发人员在尝试时仍然可以访问它们,因为他们可以访问应用程序但至少会减少占用空间。
答案 1 :(得分:0)
我们以这种方式实施:
1)开发人员最初配置了PROD空间环境。
2)开发人员从PROD空间中删除,所有其他工作由Org所有者完成。因此,开发人员根本看不到PROD空间(例如,它刚刚隐藏的工具链),并且Org所有者从现在开始进行部署和配置。