Você pode criptografar os dados do seu pilar com o GPG e proteger a chave no seu mestre, para que os dados do seu pilar não mostrem informações privadas no seu repositório git.
O Salt pode renderizar arquivos de estado com um renderizador de GPG.
Você pode definir algo assim em sua configuração principal para ativar o renderizador:
renderer: jinja | yaml | gpg
Um formato de exemplo é o seguinte:
secret-data: |
-----BEGIN PGP MESSAGE-----
Version: GnuPG v1
hQEMAweRHKaPCfNeAQf9GLTN16hCfXAbPwU6BbBK0unOc7i9/etGuVc5CyU9Q6um
QuetdvQVLFO/HkrC4lgeNQdM6D9E8PKonMlgJPyUvC8ggxhj0/IPFEKmrsnv2k6+
cnEfmVexS7o/U1VOVjoyUeliMCJlAz/30RXaME49Cpi6No2+vKD8a4q4nZN1UZcG
RhkhC0S22zNxOXQ38TBkmtJcqxnqT6YWKTUsjVubW3bVC+u2HGqJHu79wmwuN8tz
m4wBkfCAd8Eyo2jEnWQcM4TcXiF01XPL4z4g1/9AAxh+Q4d8RIRP4fbw7ct4nCJv
Gr9v2DTF7HNigIMl4ivMIn9fp+EZurJNiQskLgNbktJGAeEKYkqX5iCuB1b693hJ
FKlwHiJt5yA8X2dDtfk8/Ph1Jx2TwGS+lGjlZaNqp3R1xuAZzXzZMLyZDe5+i3RJ
skqmFTbOiA==
=Eqsm
-----END PGP MESSAGE-----
Você também pode aplicar o renderizador em uma base arquivo por arquivo adicionando a seguinte linha ao topo de qualquer pilar com dados gpg:
#!yaml|gpg
Veja a documentação aqui:
link