7 мая 2026 г.·3 мин чтения

Secrets management на собеседовании системного аналитика

Q: Это официальная информация?

Нет. Статья основана на документации Vault / Cloud KMS. --- Тренируйте системный анализ — [откройте тренажёр](https://t.me/kariernik_bot/app?startapp=web_blog_secrets-management-na-sobesedovanii-sa) с 1500+ вопросами для собесов.

Готовься к собесу аналитика как в Duolingo

10 минут в день — SQL, Python, A/B, метрики. 1700+ вопросов в Telegram

Открыть Карьерник в Telegram

Карьерник — Duolingo для аналитиков: 10 минут в день тренируй SQL, Python, A/B, статистику, метрики и ещё 3 темы собеса. 1500+ вопросов в Telegram-боте. Бесплатно.

Содержание:

Что такое secrets
Где хранить
HashiCorp Vault
Cloud KMS
Rotation
Anti-patterns
Связанные темы
FAQ

Что такое secrets

Sensitive credentials:

DB passwords.
API tokens.
Encryption keys.
TLS certificates.
OAuth client secrets.

Если leak — security incident.

Где хранить

Bad places:

Code repository (git).
Plain config files.
Environment variables на shared hosts.

Good places:

HashiCorp Vault.
AWS Secrets Manager / Parameter Store.
GCP Secret Manager.
Azure Key Vault.
Yandex Lockbox.
k8s Secrets (с encryption at rest).

HashiCorp Vault

Industry standard. Open source + Enterprise.

Features:

Multiple backends (KV, DB, AWS, etc).
Dynamic credentials (generated on demand, expire).
Audit logs.
Authentication через multiple methods.

Dynamic DB credentials.

Service requests DB cred → Vault generates new user / password → expires в 1 hour.

Если leaked — useless после expire.

Cloud KMS

Key Management Service. Manage encryption keys.

Application:
  → Asks KMS to encrypt data.
  → KMS returns ciphertext.
  → Stores ciphertext.

Decrypt:
  → Asks KMS to decrypt.
  → Returns plaintext.

Key никогда не leaves KMS. App только uses через API.

Envelope encryption. Data key encrypted с master key. Master в KMS, data key encrypted с master.

Готовься к собесу аналитика как в Duolingo

10 минут в день — SQL, Python, A/B, метрики. 1700+ вопросов в Telegram

Открыть Карьерник в Telegram

Rotation

Secrets должны rotated periodically.

Auto rotation.

AWS Secrets Manager — built-in.
Vault dynamic creds — auto.

Manual rotation:

API tokens — на schedule.
Certificates — auto via Let's Encrypt / cert-manager.

Coordination. Apps must reload secrets без restart (или rolling restart).

Anti-patterns

Hardcoded secrets. Forever leaked в git history.

Sharing in Slack / email. Persists forever, copied.

One secret для всего. Compromise one — compromise everything.

No audit trail. Не знаешь кто accessed.

Personnel access. Тот, кто left team — еще has access.

Связанные темы

FAQ

Это официальная информация?

Нет. Статья основана на документации Vault / Cloud KMS.

Тренируйте системный анализ — откройте тренажёр с 1500+ вопросами для собесов.