Как хранить секреты? для сервисов

Как хранить секреты? для сервисовПродолжаю рубрибку девопс штучки Terraform (создание серверной инфрастуктуры) https://t.me/andreyposnov/3085Ansible (конфигурация серверов) https://t.me/andreyposnov/3102Мое открытие на сегодня Hashicorp Vault.Токены, логины, пароли в засетках или confluence, это конечно замечательно я это видел и в стартапах и корпорацияхСледующий этап это в .env или секретах облака (типа GitHub), тоже норм, но все еще не идеально.После того как я ознакомился что такое Терраформ и Ansible, пока я экспериментировал с переустановками, да они быстрые, но меняются секреты, а сервисов даже на моей части проекта уже много, типа токены от dashboard kubernetes, grafana, prometheus, PostgreSQL, vpn tunnel, ArgoCD, API токены, а сколько еще будет… Я это кидал в заметки просто а потом рылся, но решил разобраться наверняка есть у КлаудИнженеров и на это решениеИ действительно нашлось, это пипец, чудеса, Hashicorp Vault это централизованное хранилище секретов, помимо хранения всех токенов, ведется история их изменений, ведется лог аудит кто когда и зачем обращался к токену (у Vault есть API, по которому токены доставать в приложениях или CI/CD), выдавать доступ по ролям и политикам! (Типа этой команде такие, этой такие), автоматически менять пароли/обновлять токены (по политике безопасности), даже выдавать SSL серты внутренним сервисам.И еще веб интерфейс есть, чтобы те кто работают не по API, или не всегда по API, имели доступ к нужным секретам, например как мне к веб мордам выше перечисленных сервисов, но думаю интегрировать и дальше 👍#программирование | @andreyposnov