---
title: Secrets Management
category: product
entity_type: skill
price: ₺369
canonical: https://forgehouse.ai/tr/skiller/secrets-management/
lang: tr
hreflang_alt: https://forgehouse.ai/skills/secrets-management/
last_updated: 2026-06-20
---

# Secrets Management

> Implement secure secrets management for CI/CD pipelines using Vault, AWS Secrets Manager, or…

HashiCorp Vault, AWS Secrets Manager, Azure Key Vault veya yerel platform çözümleri kullanarak CI/CD hatları için güvenli sır yönetimini uygular, böylece kimlik bilgileri asla koda gömülmez ve asla sızmaz. Sırrın tüm yaşam döngüsünü katmanlı savunma yaklaşımıyla kapsar: git sızıntısı önleme, beklemede şifreleme, RBAC politikaları, denetim günlüğü, otomatik döndürme ve sır tarama. .env dosyalarını dolaştırmaktan, her sırrın bir sahibi, kapsamı ve son kullanma tarihi olduğu Sıfır Güven ve en az yetki modeline geçersiniz.

## Ne için kullanılır
- Vault veya AWS sırlarını GitHub Actions ve GitLab CI hatlarına enjekte etme
- AWS Secrets Manager ve Lambda ile otomatik sır döndürme kurma
- Ortam ve servis bazlı en az yetkili Vault politikaları uygulama
- External Secrets Operator'ı Vault arka ucundan Kubernetes'e bağlama
- Sızan kimlik bilgilerini engellemek için commit öncesi ve CI sır taraması ekleme
- Proje bazlı anahtarları izole ederek tek sızan sırrın etki alanını en aza indirme

## Faydalar
- Koda gömülü kimlik bilgilerini ve bir sızıntının yıkıcı maliyetini ortadan kaldırın
- Etki alanını sınırlayarak tek ele geçirilen sırrın servislere yayılmasını önleyin
- Statik, süresiz anahtarlara güvenmek yerine sırları otomatik döndürün
- Kurcalamaya karşı korumalı denetim iziyle kimin neye ne zaman eriştiğini kanıtlayın

## Ne içerir
- KV-v2 motoru ve AppRole kısa ömürlü tokenlarla HashiCorp Vault kurulumu
- Maskelenmiş çıktılarla GitHub Actions ve GitLab CI entegrasyon desenleri
- AWS Secrets Manager saklama, alma ve Terraform tüketim örnekleri
- Otomatik döndürme Lambda'sı ve manuel kesintisiz döndürme süreci
- Kubernetes sır senkronizasyonu için External Secrets Operator manifestleri
- TruffleHog kullanan commit öncesi ve CI sır tarama kancaları

## Kimler için
Kimlik bilgilerinin CI/CD ve Kubernetes genelinde Sıfır Güven, en az yetki ve varsayılan döndürmeyle yönetilmesine ihtiyaç duyan DevOps ve platform mühendisleri için.

## Nasıl çalışır
Pipeline'ın dokunduğu her credential üzerinde skill'in koştuğu yaşam döngüsü, kara kutu yok, yaptığı iş tam olarak bu:
1. Önce secret'ları repodan çıkar: .gitignore artı pre-commit TruffleHog taraması, credential içeren herhangi bir commit makineden çıkmadan bloklanır.
2. Vault'ta merkezileştir (HashiCorp Vault veya AWS Secrets Manager), durağanda şifreli, en az yetki politikalı: salt-okuma yetkisi, tek ortama path-kapsamlı erişim, dev ve prod secret'ları asla aynı path'i paylaşmaz.
3. CI/CD'ye yalnızca çalışma anında enjekte et: vault-action veya get-secret-value çağrısı çıktı maskelemeyle yapılır, değerler job loglarına asla yazılmaz, her workflow kendi dar kapsamlı token'ını alır.
4. Rotasyonu varsayılan durum yap: 30 günlük döngüde otomatik rotasyon Lambda'ları, kısa TTL ile kendini iptal eden Vault dinamik secret'ları ve her statik secret'a son kullanma notu, hiçbir şey sonsuza dek yaşamaz.
5. Patlama yarıçapını tasarımla sınırla: proje ve ortam başına ayrı anahtar, kalıcı credential yerine kısa ömürlü STS token, servis başına ayrı veritabanı kullanıcısı; tek bir sızıntı tek kalır.
6. Audit izini kapalı döngü tut: her secret çekişi kimlik doğrulamalı ve loglu (kim, neyi, ne zaman okudu), Kubernetes secret'ları gömülü değer yerine External Secrets Operator ile yenileme aralığında tüketir.

## Sık sorulanlar
### Küçük bir ekibiz ve Vault çalıştırmıyoruz; bu yığın bize fazla mı?
Hayır, desenler küçülerek de uygulanır. Vault kurmadan AWS Secrets Manager, Azure Key Vault veya platformun yerel deposu yeterlidir; commit öncesi TruffleHog taraması her ölçekte geçerlidir. AppRole tokenlı Vault seçeneklerden biridir, giriş şartı değildir.

### Sır döndürme çalışan servisleri bozmadan nasıl işliyor?
Servisler sırları gömülü env dosyaları yerine çalışma anında depodan okur; böylece döndürülen değer her şeyi yeniden dağıtmadan yayılır. Pakette AWS Secrets Manager için otomatik döndürme Lambda'sı ve belgelenmiş elle kesintisiz döndürme süreci vardır.

### Git geçmişine zaten sızmış sırları bulur mu?
Hayır. TruffleHog kancaları yeni sızıntıları commit öncesinde ve CI'da engeller; geçmişi temizlemek ve açığa çıkmış kimlik bilgilerini iptal etmek olay müdahalesidir, bu becerinin yapmadığı ayrı bir iştir.

## Fiyat
₺369, tek seferlik, abonelik yok. KDV dahil.

İlgili rehber: [Yapay zekâ ile uygulama güvenliği](https://forgehouse.ai/tr/rehberler/yapay-zeka-uygulama-guvenligi/)