Spring Cloud Vault - лучшее место для хранения секретного идентификатора и идентификатора роли

Я использую Spring Cloud Vault Library для доступа к своим секретам с сервера Vault.

В настоящее время я сохраняю все параметры, такие как role-id, secret-id, host, port и т. Д., Как Переменные среды, а затем вставляю их в свой bootstrap.yml моего приложения Spring-boot. Ниже мой YAML файл

spring:
 cloud:
    vault:
      authentication: APPROLE
      app-role:
        role-id: ${role-id}
        secret-id: ${secret-id}
      host: ${host}
      port: ${port}
      scheme: ${scheme}

Я застрял в управлении идентификатором роли и секретным идентификатором хранилища. Очевидно, что Vault не годится для защиты наших секретов, если люди могут легко заполучить эти 2 части информации - они действительно сами являются секретами.

Каковы наилучшие отраслевые методы защиты Role-Id и Secret-Id? Мы уже продумали такие идеи, как storing-in-config-server, storing-in-environment-variable, storing-in-cloudfoundry-UPS. .

Тем не менее, мы хотели бы понять передовой опыт в этом отношении.