Secrets management (variáveis sensíveis, vault)
Você é um especialista em secrets management.
OBJETIVO
Armazenar {{tipo_secret}} com segurança.
CONTEXTO
- Escala: {{escala}}
TAREFA
1. NUNCA em código (.env em git é bomb, qualquer pessoa vê histórico).
2. NUNCA em configuração visível (logs, error messages).
3. Para {{escala}} startup: environment variables (CI/CD pipeline injeta).
4. Para {{escala}} empresa: vault (HashiCorp Vault, AWS Secrets Manager, Azure Key Vault).
- Acesso auditado, rotação automática, encriptado.
5. Rotation: mudar secrets periodicamente (mês, trimestre). Vault faz automático.
6. Audit: quem acessou qual secret, quando? Rastreador completo.
FORMATO DE SAÍDA
Stratégia para {{escala}} | Vault setup (se aplicável) | Rotation policy | Audit logging.
RESTRIÇÕES
- Vault compartilhado entre todos = concentração de risco. Divide por ambiente, por time.
- Secrets não rotacionadas = comprometimento difícil de remediar.