Не соглашусь. Вот например у меня есть тема для небольшого доклада по следам недавно сделанного и внедренного в прод, но врятли найдется время, чтобы сделать презу и демо. И код выложить на гитхаб.

По следам недавно сделанного и внедренного в прод чего именно?

А вот адвокаты это делают, в этом они молодцы (чтобы не думали, что я совсем против них :) )

У нас на это есть время, потому что это наша работа

Именно! Поэтому я хожу на доклады адвокатов и читаю их в твиттере - когда надо в общих чертах узнать про что-то новое и молодежное

А как отличить молодежное от немолодежного?

"я не то чтобы хотел послушать Баруха - он же адвокат".

Связка Hashicorp Vault, AWS и Teamcity (через бесплатный Teamcity Vault plugin) для выписывания временных секретов (через AssumeRole механизм) для гранулярной выдачи пермиссий на ресурсы AWS. Для запуска terraform-кода для управления AWS. Из ручных операций - только сама закладка секретов в Vault и Teamcity, остальное все в коде (terraform и Kotlin DSL).

Я помню, но ведь записи-то доклада нет ;) 1:1?

Звучит неплохо, да

У нас это давно работает, но с AssumeRole-механизмом креды к AWS начинают работать сразу, ждать 10–20-30 секунд не нужно.

А чем вам нативный сикретс менеджер в AWS не хватил?

Скоро будет же

Это про другое. Это не секреты приложений, а про секреты(креды) для создания и изменения AWS ресурсов.

Пример: запускается билд на Teamcity, Teamcity идет в Vault и получает вновь созданные креды только на запись в конкретный s3 bucket, закачивает туда файлы (через aws s3 sync, например. Когда билд завершается - креды удаляются.

Ну, с s3 пример совсем простой. Можно хоть https://docs.aws.amazon.com/AmazonS3/latest/dev/PresignedUrlUploadObject.html протухающую сделать.

Я больше хотел спросить, что вы храните в волте, только ли (временные) креды

Но ладно, это уже выходит за рамки чата. С удовольствием посмотрю ваш доклад.

terraform создает в AWS юзера с admin-правами (через AssumeRole), креды к нему создаем руками. Эти креды кладем в vault (просто через vault write).

Vault сконфигурен terraform(ом) и отдельно для каждого нового проекта/деплоемента в  сделаны свои AppRole с необходимыми правами. Т.к. нужно сделать целый стек в AWS из 500 ресурсов, а где-то просто скопировать файлики на S3.

Далее approle secret руками запихивается в TeamCity (через «Generate token for a secure value..”) в конкретную билд конфигурацию. А в KotlinDSL запихивается полученный хеш (“credentialsJSON:xxxxxxx”).

Если отвлечься от продуктов и клаудов, то вот примерно такой доклад меня бы порадовал на конференции DevOops. А именно: реально работающий CD pipeline с динамическими секретами для гранулярного доступа к инфраструктуре.

А не в очередной раз услышать вопрос от keynote-спикера в зал: «А кто знает что такое Devops? Я вот не знаю» (доклад Романа Шапошника, время 6:10)

Ты не путай технический доклад с кейноутом.

Ну, а меня вот такой доклад не порадовал бы
Мелкие технические проблемы, слава Б-гу, я умею решать без посещения конференций - а на конференции хожу посмотреть на визионеров и стратеджистов

А как сделать гранулярный доступ к AWS инфре - ну, я бы начал с вопроса "зачем?"

На который я умею неплохо отвечать, ответ, если вкратце, будет такой: не нужно средней компании эту проблему решать вообще