Passwork als Secrets-Manager
Passwork geht über einen Enterprise-Passwortmanager hinaus — es ist ein vollständiger Secrets-Manager, der für Infrastruktur- und CI/CD-Workflows konzipiert ist. Dieser Abschnitt behandelt das Speichern, Abrufen und Rotieren von Geheimnissen mit passwork-cli, der HTTP-API und dem Python SDK.
Was sind Geheimnisse
Geheimnisse bezeichnen alle sensiblen Daten, die nicht im Klartext gespeichert werden sollten:
| Kategorie | Beispiele |
|---|---|
| Passwörter | Datenbank-Anmeldedaten, Systemkonto-Passwörter, lokale Admin-Passwörter |
| API-Schlüssel und Token | GitHub/GitLab-Token, Cloud-Provider-Schlüssel, OAuth-Token, persönliche Zugriffstoken |
| Kryptographisches Material | Private Schlüssel, Zertifikate, SSH-Schlüssel |
| Konfigurationsgeheimnisse | Verbindungszeichenfolgen (DSN), Message-Broker-Anmeldedaten, Integrationstoken |
Architektur
Zero-Knowledge und clientseitige Verschlüsselung
Passwork folgt dem Zero-Knowledge-Prinzip: Der Server sieht niemals entschlüsselte Daten. Die gesamte Ver- und Entschlüsselung erfolgt auf der Clientseite — sei es im Browser, in passwork-cli oder im SDK. In der Datenbank wird nur Chiffretext gespeichert.
Sollte der Server jemals kompromittiert werden, würden Angreifer nur verschlüsselte Daten erhalten, ohne die Möglichkeit, diese zu lesen.
Der Zero-Knowledge-Modus kann in der On-Premise-Version deaktiviert werden
API-First-Ansatz
Passwork verwendet ein API-First-Design: Die Weboberfläche und alle offiziellen Clients interagieren über dieselbe HTTP-API, die auch externen Verbrauchern zur Verfügung steht. Dies bietet:
- Vollständige Funktionsparität — alles, was in der Benutzeroberfläche möglich ist, ist auch über die API möglich: Erstellen von Tresoren und Ordnern, Verwalten von Einträgen, Suchen, Konfigurieren von Zugriffsrechten und Anzeigen des Änderungsverlaufs.
- Stabiler Vertrag — die API ist versioniert und dokumentiert; Aktualisierungen der Oberfläche beeinträchtigen bestehende Integrationen nicht.
- Programmatischer Zugriff aus jeder Umgebung — Skripte, CI/CD-Pipelines, Microservices und interne Tools können direkt mit Passwork interagieren.
Häufige API-Anwendungsfälle:
| Szenario | Was die API tut |
|---|---|
| CI/CD-Pipeline | Ruft Geheimnisse vor der Bereitstellung ab und injiziert sie in Umgebungsvariablen |
| Passwortrotation | Ein Skript generiert ein neues Passwort, aktualisiert das Zielsystem und speichert es in Passwork |
| Audit und Berichterstattung | Ein Dienst sammelt Zugriffs- und Änderungsdaten für Compliance-Berichte |
| Migration | Massenimport/-export von Einträgen zwischen Umgebungen |
Detaillierte API-Dokumentation: Passwork HTTP API.
Integrierte Automatisierungstools
passwork-cli— Befehlszeilentool für DevOps und CI/CD: Abrufen von Geheimnissen, Einspeisen in Umgebungsvariablen und Durchführen von Rotationen.- Python SDK — Bibliothek für erweiterte Automatisierung: Migrationen, Integritätsprüfungen und Massenoperationen.
Verwandte Dokumentation
- Passwork HTTP API: Übersicht
- CLI-Tool (
passwork-cli): CLI-Tool - Docker-Image mit CLI: Docker-Container für CLI
- Python SDK: Python-Connector
- Integrationsbeispiele: Beispiele