Głębiej
**Konfiguracja** to rzeczy nie-wrażliwe (feature flagi, timeouty, endpointy). **Sekrety** to wrażliwe dane uwierzytelniające (API key, hasła do DB, klucze podpisujące). Cel: nie dopuścić do wycieku i umożliwić kontrolowaną rotację.
Zalecane podejście
- Trzymaj sekrety w Secret Managerze/Vault, zaszyfrowane (KMS).
- Dostęp dawaj przez tożsamość (IAM role/service account), nie przez hardkodowane klucze.
- Wstrzykuj sekrety w runtime (env albo pliki montowane) i trzymaj je z dala od:
- repozytorium git,
- obrazów kontenerów,
- logów builda/CI.
Praktyki operacyjne
- Rotuj sekrety cyklicznie i po incydentach.
- Least privilege (osobne sekrety per serwis/środowisko).
- Jeśli możesz, używaj krótkotrwałych poświadczeń (STS, workload identity).
Typowe pułapki
- Sekrety w `.env` wrzucone do gita.
- Jeden sekret współdzielony przez wiele usług (duży blast radius).
- Przypadkowe logowanie sekretów (debug logi, komunikaty błędów).