Ho uno script che si connette a Azure Key Vault per ottenere le credenziali e quindi le usa per accedere ad Azure.
Queste credenziali sono sempre utilizzate dagli script e Key Vault è l'unico repository in cui sono salvati.
Parte dello script ha una funzione per cambiare periodicamente la password. Ho considerato il periodo di cambiamento. Mi è venuto in mente che sarebbe perfettamente fattibile utilizzare le credenziali per eseguire un'operazione, e quindi cambiare immediatamente la password ad esse associata.
C'è qualche vantaggio / problema con questo che sto trascurando?
Modificato per aggiungere un piccolo contesto!
La teoria per questo è di consentire che le credenziali siano disponibili per più macchine e che il deposito chiave fornisca un'unica fonte di verità. Permette di portare uno script / file di configurazione crittografato su una chiavetta USB e di collegarsi da qualsiasi luogo sapendo che qualunque sia la password utilizzata potrebbe essere modificata immediatamente dopo l'uso.
Per mantenere segreto il meccanismo di modifica della password, potrebbe essere divertente da un computing senza server e invocato con un webhook. (significa che la password potrebbe essere veramente lunga e casuale)