假设我是一个具有所有AWS权限的AWS超级用户。
我已经配置了AWS胶水,包括使用用户名和密码到数据库的连接。
我已将用户名和密码存储在AWS Secret Manager中,胶水的ETL作业脚本将使用此信息连接数据库,然后运行ETL作业。
ETL数据工程师没有超级用户权限。但是他们知道如何编写ETL作业脚本的详细信息。而且脚本需要首先检索秘密信息,这意味着工程师可以编写代码以打印出密码……而我们有很多数据工程师……
我的问题是:控制秘密管理器密码访问的正确策略是什么?
1)我们是否应允许ETL数据工程师更新脚本以粘合并运行它?然后他们可以看到密码,或者
2)我们是否只允许他们编写ETL脚本,但是让超级用户在查看代码后将脚本更新为可粘贴?或
3)我们是否可以将ETL作业脚本代码和get_password代码分开?
注意,我知道如何使用IAM标签来控制机密管理器。但是我的问题是不同的。