Авторизация/аутентификация сервисов
Есть такая ситуация:
Сервис А (использует django) содержит какую-то бизнес логику и через него клиенты могут осуществлять заказы на вывод средств Креды на доступ к сервису Б подкидываются через jenkins.secrets
Сервис Б шлюз в котором происходит непосредственная выплата денег через платежную систему. В сервисе Б хранится информация о сертификатах, с помощью которых можно производить непосредственно выплаты Этот сервис принимает запросы на платеж только от сервиса А
сертификаты в сервис подкидываются из jenkins.secrets
При такой схеме если у меня как у разработчика есть возможность
подключиться к рабочему контейнеру с сервисом А то я могу скопировать креды доступа к платежному сервису и потом воспользоваться ими для осуществления платежей
подключиться к рабочему контейнеру с сервисом Б скопировать сертификаты и потом провести выплаты через них через сторонний софт.
Сейчас я вижу только один вариант - полностью закрыть возможность подключения к контейнерам, которые работают в прод.
Возможно ли организовать систему при которой подключение к контейнеру А в shell, либо к django shell не давало мне никакой возможности получить креды для доступа к сервису Б
Подскажите в какую сторону копать, что почитать по этому вопросу