обычно первые три

Есть протектед ветка, мр разрешено только мейнтейнеру, а запускать может пользователь с ролью девелопер.
Но не делал ограничение в yaml на создание пайплайна только из этой ветки.
Если добавить это ограничение - это будет достаточно?

в целом да.
я разбирался с этой задачей, если пайплайн ограничить защищенной веткой - он будет доступен только тем, кто может в нее мержить

спасибо большое, попробую

Подскажите есть ли возможность в тасках Ansible когда к при меру описываешь  несколько модулей не дублировать каждый раз aws access key и aws secret key ?

К примеру задать в главной а все остальные чтобы подхватили ?

Пример:
- name: create ec2
ec2:
aws_acces_key: {{environment variables - assume role}}}
 aws_secret_key: {{environment variables - assume role }}
 aws_secret_token: {{environment variables}}

-name: create rds
rds:
 aws_acces_key: {{environment variables- assume role}}
 aws_secret_key: {{environment variables- assume role}}
 aws_secret_token: {{environment variables}}

Посмотрите в aws cli. Можно настроить ваш хост взаимодействовать с aws ранее указав access и secret key при помощи команды aws configure

Это вроде как не сесюрно

Конфиг положить в каталог юзера

В целом, спасибо за ответ

Конфиг зашифрован и отрабатывает только когда запускается джоба

Эм

Ну так ансибл уже в джобе ведь запускается?

Тоуер

А, думал CI какой

Но в общем надо или env vars иметь до запуска, или конфиг

Как костыль - можно первым таском создать конфиг

А последним удалить

То есть переменные указывать будешь 1 раз, а не на каждый таск

тут все описано подробно