Välj rätt secret management 2026. Vault, AWS Secrets och Doppler.
Nästan varje kodbas jag öppnar har samma lilla synd. Någonstans finns en .env-fil, eller ett konfigblock, med ett databaslösenord eller en API-nyckel i klartext. Det är inte att utvecklarna är slarviga, det är att det är det smidigaste sättet att få något att fungera. Problemet är inte filen i sig, utan att hemligheten nu finns på laptops, i backuper och en oförsiktig commit från att hamna i git-historiken för alltid. Secret management handlar om att flytta hemligheter någonstans tryggare, och 2026 står valet ofta mellan Vault, AWS Secrets Manager och Doppler.
Varför .env-filer är ett problem
En hemlighet i en .env-fil har flera svagheter samtidigt. Den är spridd över alla utvecklares maskiner, så du vet inte vem som har den. Den roteras i praktiken aldrig, eftersom det innebär att jaga alla kopior. Och den lämnar inga spår, du kan inte se vem som läste den eller när. Lägg till risken att filen råkar checkas in, och du har en hemlighet som potentiellt är exponerad utan att någon vet om det.
Den sista punkten är värd att stanna vid. En läckt hemlighet är sällan en katastrof i sekunden den läcker. Den blir en katastrof för att den aldrig roteras, så att en nyckel som läckte för två år sedan fortfarande är giltig i dag. Bra secret management handlar lika mycket om att kunna rotera snabbt som om att gömma värdet.
HashiCorp Vault: kraftfullast och mest komplext
Vault är det mest kapabla av de tre, och det mest krävande. Det kan generera kortlivade credentials på begäran, rotera databaslösenord dynamiskt och centralisera hemligheter över flera moln och miljöer. Om du har komplexa behov och flera plattformar är det svårslaget.
- Styrkor: dynamiska, kortlivade credentials, kraftfull åtkomststyrning och oberoende av en enskild molnleverantör.
- Avvägning: det är en tjänst du måste drifta och hålla vid liv, vilket är en verklig kostnad i tid och kompetens.
Vault passar organisationer med flera moln eller höga krav, och med resurser att äga driften av en central hemlighetstjänst.
AWS Secrets Manager: enklast om du redan är i AWS
Om ni redan kör i AWS är Secrets Manager ofta det smidigaste valet. Det integrerar med molnets egna behörighetssystem, sköter kryptering och kan rotera vissa hemligheter automatiskt, allt utan att du driftar något eget. Du betalar per hemlighet, men slipper helt ansvaret för att hålla en tjänst igång.
- Styrkor: djup integration med AWS, ingen egen drift, automatisk rotation för stödda tjänster.
- Avvägning: det binder dig till AWS, och passar mindre väl om du har en betydande närvaro i andra moln.
Doppler: utvecklarvänligt över flera miljöer
Doppler tar en annan vinkel med fokus på utvecklarupplevelse. Det är byggt för att enkelt hantera hemligheter över olika miljöer och projekt, med ett trevligt gränssnitt och bra integrationer mot vanliga verktyg. För team som vill ha ordning på sina hemligheter utan att binda sig till ett moln eller drifta Vault är det ett attraktivt mellanting.
- Styrkor: stark utvecklarupplevelse, leverantörsneutralt och lätt att komma igång med över miljöer.
- Avvägning: det är en extern hanterad tjänst, så du lägger en del av din hemlighetskedja hos en tredje part.
Rotation är själva poängen, oavsett verktyg
Vilket verktyg du än väljer är det viktigaste att hemligheter blir roterbara. Det innebär att applikationen hämtar sin hemlighet vid körning i stället för att ha den inbakad, så att du kan byta ut värdet utan att bygga om eller deploya på nytt. Då blir en misstänkt läcka hanterbar: du roterar nyckeln, den gamla slutar gälla, och du är trygg igen inom minuter i stället för att tvingas till en panikartad release. Vault går längst här med dynamiska credentials, men även de andra stödjer rotation väl.
Granskning och minsta privilegium
Två principer gör resten av skillnaden, och alla tre verktygen stödjer dem. Den första är granskning: du vill kunna se vem eller vad som läste en hemlighet och när. Den andra är minsta privilegium: varje tjänst ska bara ha tillgång till de hemligheter den verkligen behöver, inte till hela valvet. Då blir radien för en komprometterad tjänst liten i stället för total. Hur jag väver in hemlighetshantering i en samlad leveranskedja beskriver jag i min tjänst för DevOps-plattform.
Relaterat
- Platform Engineering 2026: Backstage vs Port vs Cortex
- GitOps med ArgoCD vs Flux: Vilket passar er K8s-stack?
- SRE för 5-personers team: Error budgets, SLO:er och on-call light
Vill du se hur en uppstädning av hemligheter sett ut i ett skarpt projekt finns exempel i min casebook.
Vill du ta det vidare?
Om dina hemligheter i dag bor i .env-filer eller aldrig har roterats hjälper jag dig att flytta dem någonstans tryggare. Hör av dig via kontaktsidan.
“En läckt hemlighet blir en katastrof för att den aldrig roteras, inte i sekunden den läcker.”
- Simon Axelsson
Vanliga frågor
- Behöver ett litet team verkligen Vault?
- Sällan från start. Om ni kör i AWS ger Secrets Manager kryptering, behörighetsstyrning och viss rotation med mycket mindre drift, och Doppler är ett smidigt leverantörsneutralt alternativ. Ta in Vault när ni behöver dynamiska credentials eller central hantering över flera moln.
- Vad gör jag om en hemlighet redan läckt till git-historiken?
- Rotera nyckeln omedelbart så att det läckta värdet blir värdelöst. Att rensa historiken är möjligt men sekundärt, det viktiga är att den gamla hemligheten slutar fungera.
- Är Doppler säkert nog för produktion?
- Ja, för många team. Det är byggt för att hantera produktionshemligheter över miljöer. Som med varje extern tjänst lägger du en del av din kedja hos en tredje part, så väg det mot enkelheten det ger.
Simon Axelsson är senior IT-konsult och grundare av SIAX Technology AB. Han hjälper nordiska företag med molninfrastruktur, dataplattformar och AI-automation.
Fler artiklar
