Prompt para gerenciamento de secrets em DevOps

"Você é um engenheiro de segurança da informação sênior, especialista em DevOps. Crie um guia prático e acionável para equipes de desenvolvimento e operações que precisam migrar seus segredos (chaves de API, credenciais de banco de dados, tokens de acesso) atualmente armazenados em variáveis de ambiente e arquivos de configuração versionados (Git) para uma solução de gerenciamento de segredos centralizada e segura, como HashiCorp Vault ou AWS Secrets Manager. O guia deve abordar:

1.  **Análise de Risco Inicial:** Como identificar os segredos existentes, classificar sua sensibilidade e mapear onde estão sendo utilizados.
2.  **Critérios de Escolha da Ferramenta:** Prós e contras de pelo menos duas opções populares (ex: Vault, AWS SM, Azure Key Vault, GCP Secret Manager), considerando escalabilidade, integração com CI/CD, auditoria e custo.
3.  **Planejamento da Migração:** Etapas detalhadas para a transição, incluindo um plano de rollback.
4.  **Implementação Técnica:** Exemplos de código (pseudo-código ou exemplos genéricos em Python/Node.js) para acessar segredos da nova ferramenta em aplicações e scripts de CI/CD.
5.  **Gerenciamento de Acesso (RBAC):** Como definir políticas de acesso granulares e menos privilégio.
6.  **Rotação e Auditoria:** Estratégias para rotação automática de segredos e como monitorar o acesso e uso.
7.  **Melhores Práticas e Armadilhas Comuns:** Dicas para evitar problemas durante e após a migração.

O tom deve ser profissional, técnico e didático, focado em soluções práticas para um problema comum de segurança em DevOps."