我开始评估Hashicorp Vault的秘密管理。这个想法是让我的gitlab CI将工作负载部署到Kubernetes中并将机密分发到pod。但是，现在我计划将Kubernetes工作负载移至Azure。根据您的经验，如果我的要求是：

• 从Gitlab CI（外部wrt天蓝色）访问以获取机密
• 从Gitlab CI（外部wrt azure）进行访问以将pod部署到Azure Kubernetes Services
• 从Gitlab CI（外部wrt azure）访问以操作我的云实例
从Azure Kubernetes窗格进行
• 访问以获取与Azure托管服务（例如DB）有关的机密。据了解，用户可以利用Hashicorp Vault为预先创建的Azure角色动态生成服务主体和凭据。

然后，我将利用与Azure Key Vault的集成来自动开封Hashicorp的其中一个。

我已经阅读了许多有关此问题的文档，但是仍然无法找出一个明确的好策略（在我看来，我总是想像有安全漏洞）。当然，我的困惑是由Vault和Azure的经验不足引起的，还因为它支持许多不同的auth / author方法，这会让您有些迷惑。