Получение secret_id vault для approle в kubernetes

Я хочу настроить vault approle в kubernetes (go-приложения, деплой через helm). Как я понимаю, с role_id я поступаю так:

1. создаю роль в vault (и политику для нее)
2. получаю role_id и прописываю ее в какую-то переменную Gitlab CI, откуда это значение попадет в приложение при деплое

А вот как правильно в kubernetes получать secret_id? Теоретически:

1. во время деплоя я должен запросить secret_id у vault
2. получаю зашифрованный токен
3. расшифровываю (через vault unwrap) и получаю secret_id
4. с помощью role_id (который мы взяли из переменной) и secret_id получаю токен для vault (c ним я потом буду читать секреты)

Но как это правильно и безопасно сделать на практике? Поделитесь опытом, пожалуйста.