Rails初心者です。Rails5.0.6でアプリ制作をしています。
一通りアプリが完成したので、herokuにデプロイしようと思っています。
そこで、githubでリポジトリの管理もしたいので、まずgithubにpushしてからそのリポジトリをherokuにデプロイしたいのですが、
APIキーなどの秘密情報をどう扱えばいいのかがわかりません。

現状、開発環境では、secrets.ymlのdevelopmentに変数をベタ書きして、必要な箇所でRails.application.secrets.変数名として呼び出しています。
まだ一度も本番環境を使用したことはないので、secrets.ymlのproductionにはsecret_key_baseしか記入していません。
そこで、以下の質問です。

1. heroku上でもそれらのAPIを使用したい場合は、secrets.ymlのproductionに環境変数として(api_key: <%= ENV["API_KEY"] %>のように)設定する必要がある。そして、それに応じてherokuに環境変数を設定する。という認識で正しいでしょうか？
2. 環境変数として設定した場合、このsecrets.ymlは保護する(.gitignoreにsecrets.ymlを追加する)べきなのでしょうか？
3. .gitignoreに追加されたファイルは、gitの管理から外されるのだと思いますが、その場合そのファイルはgithubにアップロードされませんよね。そうすると、herokuでこれらの環境変数名を認識できるのでしょうか？

以上のような方法でなくても、デプロイする場合の秘密情報の扱い方について方法を教えて頂ければ嬉しいです。
初心者でして、デプロイすることにセキュリティの不安があります。よろしくお願いします。