SSO с PUM, сиемом, 2fa дансгардианом, радиусом, макацлами, блекджеком и шлюхами (насколько паранои хватит). На внутренний домен вешается просто редиректилка на авторизацю которая при заходе отдает что то неавторизованному клиенту и потом в зависимости от роли (можно в том же лдапе побить) отдает токен и после авторизации пускает туда куда роутит правило конкретной политики ролей (хош во влан, хош по-локейшну, можно чего угодно прикрутить).
угу угу, ну тут всё приблизительно понятно. Вопрос скорее в сторону того, как аутентифицировать и авторизовать сервисы друг с другом. Условно говоря есть внутренний s3 и хотелось бы пускать конкретные сервисы в конкретные бакеты, при этом не запихивая в деплойменты секреты, а чтобы они генерились на лету. Т.е. такой знаешь STS на минималках (если я правильно понимаю для себя сущность STS)