dev-tools/manifests/cluster-secret-store/vault-cicd.yaml

apiVersion: external-secrets.io/v1beta1
kind: ClusterSecretStore
metadata:
  name: vault-cicd
spec:
  provider:
    vault:
      server: http://vault.dev-tools.svc.cluster.local:8200
      path: cicd
      version: v2
      auth:
        kubernetes:
          mountPath: kubernetes          # חייב להתאים ל-bootstrap (auth/kubernetes)
          role: eso-cicd                 # כפי שהגדרנו ב-bootstrap-config.yaml
          serviceAccountRef:
            name: external-secrets       # ה-SA של ה-ESO
            namespace: dev-tools