Me han encargado desarrollar un servicio querecibe solicitudes de acceso de administrador a un servidor de Windows, recibe la aprobación de la administración, otorga acceso y luego revoca automáticamente el acceso después de una hora.
Estoy obligado a hacer todas las implementaciones a través de Octopus Deploy.
No puedo almacenar la contraseña de superusuario dentro del servicio, ya que todos los desarrolladores tienen acceso de lectura a nuestro SVN.
Estaba planeando almacenar la contraseña dentro de unvariable segura en Octopus Deploy, pero luego se dio cuenta de que cualquier persona con permisos de modificación en el proyecto podría agregar un script de powershell para enviarse los valores de las variables.
¿Hay alguna forma de asegurar una variable dentro de Octopus Deploy que pueda usarse para instalar un servicio de Windows con acceso de superusuario, pero que no pueda recuperarse por ningún medio?
Respuestas
1 para la respuesta № 1La forma en que tengo esta configuración utiliza una combinación de roles y entornos para limitar el acceso a variables sensibles, como las contraseñas de prod.
Necesitas dos roles:
1) es un rol de editor de proyectos que permite a los desarrolladores hacer todo, pero solo para entornos Dev / UAT. Esto les permite tener todo listo y probado sin tener acceso al entorno prod.
2) un rol de editor de producción al que solo unas pocas personas tienen acceso. Las variables de la contraseña de producción están sujetas al entorno Prod para que los desarrolladores no puedan acceder a ellas.