Как контролировать доступ к секретному менеджеру AWS

Предположим, я являюсь суперпользователем AWS, у которого есть все разрешения AWS.

Я настроил клей AWS, включая подключение к базе данных, используя имя пользователя и пароль.

Я сохранил имя пользователя и пароль в секретном менеджере AWS, скрипт задания ETL клея соединит базу данных, используя эту информацию, а затем запустит задание ETL.

Инженеры ETL Data не имеют прав суперпользователя. Но они знают, как написать детали сценария работы ETL. И сценарий должен сначала извлечь секретную информацию, что означает, что инженеры могут написать код для распечатки пароля... и у нас много инженеров по данным...

У меня вопрос: какова правильная стратегия для контроля доступа к паролю секретного менеджера?

1) Должны ли мы позволить инженерам данных ETL обновить скрипт для его склеивания и запуска? тогда они могут увидеть пароль, или

2) Должны ли мы разрешить им только писать сценарий ETL, но позволить суперпользователю обновлять сценарий для склеивания после просмотра кода? или же

3) Есть ли у нас способ разделить код сценария задания ETL и код get_password?

Обратите внимание, я знаю, как использовать IAM, теги для управления секретным менеджером. Но мой вопрос другой.