Коллеги, привет может кто сталкивался с такой идеей и как получилось

реализовать:

есть service1, в его настройках указываем, что использовать .gitlab-ci.yml не из рут директории сервиса, а вообще из другой группы. Смысл в том, что к конфигам есть доступ у админов, но нет у разработчиков сервиса.

проблема оказалась в том, что если pipeline стартует admin - то всё ок, но если стартует разработчик - то pipeline падает, потому что у разработчика нет прав к репо с ci конфигами.
Может есть какой то способ указать от чьего имени стартовать pipeline? Или тут только вариант давать права на чтение к репо с CI конфигами?

вы доступ к конфигам не даете из-за наличия там секретов или просто чтоб не правили? как вариант вынести их в переменные или клонить под сервисным аккаунтом, но его тоже придется тащить в переменные.

чтобы не правили

так мож просто им read доступ всем выдать и дело с концом?

это самый простой способ кроме одного “НО” - что нет в гитлаб групп пользователй - поэтому придется поштучно добавлять пользователй

там можно сделать у проекта уровень internal. Будет доступен всем кто залогинился.

супер. спасибо за идею! - сейчас чекну