Зачем использовать AWS Secret Manager вместо переменных среды?

https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html

Secrets Manager позволяет заменить жестко заданные учетные данные в вашем коде, включая пароли, вызовом API к Secrets Manager для программного извлечения секрета. Это помогает гарантировать, что секрет не может быть скомпрометирован кем-то, кто исследует ваш код, потому что секрет больше не существует в коде. Кроме того, вы можете настроить Secrets Manager на автоматическую ротацию секрета для вас в соответствии с заданным расписанием. Это позволяет заменить долгосрочные секреты краткосрочными, что значительно снижает риск компрометации.

Используя AWS Secret Manager, вы можете внедрять свои секреты в код без их жесткого кодирования, извлекать их в своем коде через некоторые API, и к ним может получить доступ без пароля любой, у кого есть доступ к машине (просто откройте консоль node / python и вызывать API, чтобы узнать секреты).

Кроме того, с помощью переменных среды вы можете вводить свои секреты в код без их жесткого кодирования, извлекая их в свой код через некоторые APIS (dotenv, process.env), и к ним может получить доступ без пароля любой, у кого есть доступ к машине ( сenvкоманда).

Почему мне следует использовать AWS Secret Manager вместо более простых переменных среды?