Как получить секрет AWS из диспетчера секретов и использовать значение из пары ключ/значение на следующем этапе действия ⇐ Linux

[Anonymous]

У меня есть секреты в моем диспетчере секретов AWS, который я получаю в рабочем процессе GitHub Action через aws-cli. Это возвращает мне пару ключ/значение в GITHUB_ENV/GITHUB_OUTPUT, из которой я получаю только значение через jq.

Я хочу использовать полученное секретное значение на следующем этапе для обновления значения файла. Однако когда я использую его на следующем шаге, значение отображается в журналах GitHub. Я использую add::mask, чтобы скрыть секрет, но код выглядит шаблонно, и я не уверен, что это безопасно. Я хочу узнать, есть ли хороший подход к этому?

Я попробовал следовать инструкциям, и это помогло мне найти решение. Я могу скрыть полученный секрет и заменить значение записи XML этим значением, не делая его видимым в журналах GitHub, но сценарий выглядит банально, я хочу знать, есть ли какой-нибудь другой хороший подход.
— имя: Получить секреты из AWS Secrets Manager. идентификатор: get_secrets запустить: | mgr_pwd=$(aws secretsmanager get-secret-value --secret-id secretId --query SecretString --output text | jq .password | tr -d '"') echo "::add-mask::${mgr_pwd}" echo mgr_pwd="$mgr_pwd" >> $GITHUB_OUTPUT - имя: секреты обновления в config.properties. запустить: | xmlstarlet ed --inplace -u '/properties/entry[@key="password"]' -v ${{steps.get_secrets.outputs.mgr_pwd }} ../config/config-properties.xml