githubを使ったapiなど重要なキーやパスワードの取り扱いについて教えて頂ければと思います。
※rails初心者(プログラミング初心者)ですので基本的な事が分かってないとお考え下さいませ。

■状況
1.
railsの勉強としてローカルでアマゾンAPIを使い商品検索して表示させるアプリを作りました。

githubに全てのファイルをpush。
その後本番環境(VPS)にてサイト公開しようかと考えておりました。

amazonからメールで連絡があり、github(私のアカウント)にアクセスkeyが公開されているから削除して防止策を取ってね。と。
確かに確認するとまるまる公開されており、これはダメだと思い削除しました。

↑この様な状況の場合、今後どの様にapiのkeyやそのた諸々のpassなどを管理していくと良いと考えられますでしょうか?

素人なりに思いつくのが
対応策
1.
githubのソースの公開されないアカウントを利用する。
=>有料になってしまうので少し抵抗が。。。

key情報の書かれたファイルのみgithubにpushしないで,直接サーバにUPする。
=>key情報などのファイルは更新頻度も低いので直接UPしてもいいかなーと。
ただgithubを使っている以上git add --allなどとぼけて実行してしまう可能性もあるなーと。

githubには全てをpushするけどkeyやpassは書かないで、その都度サーバ上で編集する。
=>手間がかかるしイケてないなーと。

githubを使わずにVPSに直接upする。
=>最終的にはこれでもいいのですが、現在プログラミングの勉強中なのでgithubを使って管理したいなーと。
ファイルの更新を管理したい。。。

皆様はどの様にapiキーやその他重要なpassなどが書かれたファイルをgithubを使って管理していますでしょうか?

宜しくお願いします。