Skip to content
Latchkey

O Que É um Secrets Manager? O Cofre Por Trás das Suas Credenciais

Um secrets manager é um serviço feito sob medida que armazena credenciais criptografadas, controla quem pode lê-las e as entrega em tempo de execução com uma trilha de auditoria completa.

Um secrets manager é o cofre dedicado por trás da gestão de secrets. Em vez de espalhar chaves por arquivos de config e variáveis de ambiente, você as centraliza em um serviço que as criptografa, aplica política de acesso, as rotaciona e registra cada leitura. Os pipelines de CI buscam o que precisam no momento do job e nada fica largado por aí.

O que um secrets manager oferece

  • Criptografia em repouso e em trânsito para cada valor armazenado.
  • Políticas de acesso granulares atreladas à identidade.
  • Logs de auditoria de cada leitura e escrita.
  • Rotação embutida ou agendada de credenciais.

Implementações comuns

HashiCorp Vault, AWS Secrets Manager, Google Secret Manager e Azure Key Vault são as escolhas usuais. Cada um expõe uma API ou CLI que um pipeline chama para buscar um secret pouco antes de precisar dele, autenticando com uma identidade de vida curta em vez de outra senha armazenada.

Como a CI conversa com ele

Um job se autentica no manager (idealmente com um token OIDC ou uma workload identity, não uma chave estática), solicita o secret específico de que precisa, o usa em memória e sai. O secret nunca cai no repo nem na configuração de CI.

Secrets dinâmicos

Managers avançados podem gerar credenciais na hora: uma senha de banco de dados que existe apenas pela duração de um job, depois é revogada. Secrets dinâmicos encolhem a janela em que um valor vazado é útil para quase nada.

Por que não usar apenas variáveis de secret da CI

Stores de secret nativos da CI servem para projetos pequenos, mas um manager dedicado centraliza secrets entre muitos pipelines e ferramentas, oferece rotação e auditoria mais ricas e evita duplicar a mesma chave em cada repo. Muitos times usam ambos: o manager como fonte da verdade, variáveis de CI para o token de bootstrap.

Onde o runner se encaixa

Buscar um secret só é seguro se a máquina que faz a busca for confiável e de vida curta. Runners isolados e efêmeros (como os runners gerenciados da Latchkey) garantem que um secret puxado do manager desapareça no momento em que o job termina, nunca legível por um job posterior no mesmo host.

Principais conclusões

  • Um secrets manager centraliza credenciais com criptografia, política de acesso e auditoria.
  • Vault, AWS Secrets Manager e Azure Key Vault são implementações comuns.
  • Secrets dinâmicos, por job, tornam uma credencial vazada quase inútil.

Guias relacionados