Sekrety trzymaj w secret managerze (lub zaszyfrowanym storage KMS) i wstrzykuj w runtime (env/volume), a nie w gicie czy jawnych plikach. Rotuj sekrety i stosuj least privilege.
Odpowiedź zaawansowana
Głębiej
**Konfiguracja** to rzeczy nie-wrażliwe (feature flagi, timeouty, endpointy). **Sekrety** to wrażliwe dane uwierzytelniające (API key, hasła do DB, klucze podpisujące). Cel: nie dopuścić do wycieku i umożliwić kontrolowaną rotację.
Zalecane podejście
Trzymaj sekrety w Secret Managerze/Vault, zaszyfrowane (KMS).
Dostęp dawaj przez tożsamość (IAM role/service account), nie przez hardkodowane klucze.
Wstrzykuj sekrety w runtime (env albo pliki montowane) i trzymaj je z dala od:
repozytorium git,
obrazów kontenerów,
logów builda/CI.
Praktyki operacyjne
Rotuj sekrety cyklicznie i po incydentach.
Least privilege (osobne sekrety per serwis/środowisko).
Jeśli możesz, używaj krótkotrwałych poświadczeń (STS, workload identity).