Решил запустить у нас хранение секретов в HashiCorp Vault. Второй день читаю как развернуть, настроить и как использовать в клиентах. Я некоторые абзацы перечитываю раза по три, чтобы просто понять что они пытаются до меня донести. Организовать безопасное хранение и доставку секретов выглядит сложным делом. За меня, конечно, постарались и убрали кучу сложности через код и документацию, но даже так это выглядит не просто.

Пока нашел более-менее понятный способ, когда ни у кого в цепочке нет полных данных, кроме владельца и приложения - developer.hashicorp.com/vault/

А еще остаются открытыми вопросы по развертыванию кластера, который не потеряет данные. В этой статье чисто по верхам указан способ как это выглядит, но не то как это сделать - habr.com/ru/articles/762194/

И вообще много ~увлекательного~ полезного чтива тут - developer.hashicorp.com/vault/