Как организовать secrets management?

Выбрать centralized store: HashiCorp Vault (self-hosted, мощный), AWS Secrets Manager (managed, авторотация), или Azure/GCP эквиваленты. В k8s: External Secrets Operator синхронизирует из Vault/AWS в k8s Secrets. Принципы: не хранить секреты в Git (Sealed Secrets или SOPS если нужно), short-lived credentials через dynamic secrets, ротация по расписанию, audit log всех обращений, least privilege (каждый сервис только свои секреты). CI/CD: использовать OIDC вместо static keys, secrets из vault через CI/CD провайдера. Регулярный аудит неиспользуемых секретов.