ну у нас нет ротации как таковой и всё довольно статично, ключи хранятся в репо, доступ к ним ограничен и есть у пары-тройки человек на репо, если есть необходимость смены ключа, он меняется вручную или с помощью того что деплоит. На данный момент эта схема более чем устраивает, если хочется чего-то более динамичного, лучше взять какой-нибудь Hashicorp Vault - у него есть куча готовых агентов, которые поддерживают ротацию из коробки.
Обсуждают сегодня