Просто выглядит, что даже vault особо не спасет - все равно нужно как-то передать, что нужен именно *этот* секрет

Ты можешь сделать так что бы один пиллар был передан определенной группе машин. например "базы psql"

Вариант. Но если группы перекрывающиеся ?

Как это мешает тому что бы хранить секреты в пиларах?..

Тоже не понял

тогда либо перекрещивать либо перечислять

Да, но если кто то получил доступ к системе может попросить у сальт мастера данные о других окружениях

или неймингом решать типа *-psql-* 😄 У каждого может быть своя специфика

🤷‍♂

Получил доступ к системе на каком уровне? Физический? В консоли юзера? Рута?

Если заморачиватся то ставьте HashiCorp Vault и храните секреты в нем и забирайте их через sdb

там можно очень гибко настроить

кто то может подсказать решение?

state.apply пишет:
"    Data failed to compile:
----------
   Pillar failed to render with the following messages:
----------
   Rendering SLS 'zabbix.nginx' failed. Please see master log for details.
ERROR: Minions returned with non-zero exit code"

в /var/log/salt/master и то через раз:
"2020-01-10 10:54:45,703 [salt.utils.verify:558 ][WARNING ][20841] Insecure logging configuration detected! Sensitive data may be logged."

используется https://github.com/saltstack-formulas/nginx-formula

Ищи ошибку в мастер логе

привел пример того что в мастер логе

Отличный пример но это не ошибка

может на минионе в логе ошибку посмотреть?

ну и до кучи миньен посмотри да

Но пилары рендерятся на мастере