02 Feb 2024 07:16 PM
Nous souhaitons généraliser la configuration as code avec l'objectif ultime de 100% as code.
Les outils sont présent que ce soit Monaco (notre choix pour le moment) ou TerraForm.
Je me pose la question suivante :
Comment arrivez vous à faire de la configuration as code "securitaire" dans le sens d'empêcher les gens de modifier/supprimer des configurations qui ne les concernent pas ?
Nous utilisons les managements zone pour creer des "applications ou des systemes" , par contre les tokens nécessaires pour faire fonctionner Monaco ne permettent pas de filtrer selon les mz.
Les seuls token qui le permettent sont les personal token et on ne veut pas aller dans cette direction 🙂
merci de me faire par de vos idées et/ou commentaire sur le sujet
08 Feb 2024 01:45 PM
Salut Nicolas,
Au départ les configurations étaient dans un repo de notre equipe. Donc nous validions les PR.
Désormais les équipes ont leur propre repos, et le statefile terraform associé.
Ainsi une autre équipe ne peut pas modifier / supprimer leurs configurations sans passer par ces repos.
Par contre, il pourrait arriver qu'une équipe ajoute des choses pour une autre équipe...
08 Feb 2024 02:46 PM
Salut Maude,
Don une equipe X pourrait par erreur ou de façon "malveillante" ajouter/modifier/supprimer un configuration sur un composant qui appartient a une equipe Y ?
08 Feb 2024 02:52 PM
Une équipe Y peut faire son alerting pour un de ses composant.
Une equipe X ne pourra pas modifier les conf de l equipe Y. Par contre elle pourrait se créer des regles pour le meme composant qui n est pas a elle.