Passwork als Secrets-Manager
Passwork ist mehr als nur ein Enterprise-Passwort-Manager – es ist ein vollständiger Secrets-Manager, der für Infrastruktur- und CI/CD-Workflows entwickelt wurde. In diesem Abschnitt wird beschrieben, wie Geheimnisse mit passwork-cli, HTTP, API und dem Python SDK gespeichert, abgerufen und rotiert werden.
Was sind Geheimnisse?
Geheimnisse beziehen sich auf alle sensiblen Daten, die nicht im Klartext gespeichert werden sollten:
| Kategorie | Beispiele |
|---|---|
| Passwörter | Datenbankanmeldeinformationen, Systemkontokennwörter, lokale Administratorkennwörter |
| API Schlüssel und Token | GitHub/GitLab-Tokens, Cloud-Anbieterschlüssel, OAuth-Tokens, persönliche Zugriffstokens |
| Kryptografische Materialien | Private Schlüssel, Zertifikate, SSH-Schlüssel |
| Konfigurationsgeheimnisse | Verbindungszeichenfolgen (DSN), Anmeldeinformationen für den Nachrichtenbroker, Integrationstoken |
Architektur
Zero-Knowledge und clientseitige Verschlüsselung
Passwork folgt dem Zero-Knowledge-Prinzip: Der Server sieht niemals entschlüsselte Daten. Die gesamte Ver- und Entschlüsselung erfolgt auf der Clientseite – sei es im Browser, passwork-cli oder im SDK. In der Datenbank wird nur Geheimtext gespeichert.
Sollte der Server jemals kompromittiert werden, würden Angreifer nur verschlüsselte Daten erhalten, ohne die Möglichkeit, diese zu lesen.
Der Zero-Knowledge-Modus kann in der On-Premise-Version deaktiviert werden
API-erster Ansatz
Passwork verwendet ein API-first-Design: Die Webschnittstelle und alle offiziellen Clients interagieren über denselben HTTP API, der externen Verbrauchern zur Verfügung steht. Dies bietet:
- Vollständige Funktionsparität – alles, was in der Benutzeroberfläche möglich ist, ist auch über API möglich: Tresore und Ordner erstellen, Datensätze verwalten, suchen, Zugriffsrechte konfigurieren und Änderungsverlauf anzeigen.
- Stabiler Vertrag – der API ist versioniert und dokumentiert; Schnittstellenaktualisierungen beeinträchtigen bestehende Integrationen nicht.
- Programmgesteuerter Zugriff aus jeder Umgebung – Skripte, CI/CD-Pipelines, Microservices und interne Tools können direkt mit Passwork interagieren.
Häufige API-Anwendungsfälle:
| Szenario | Was der API macht |
|---|---|
| CI/CD-Pipeline | Ruft Geheimnisse vor der Bereitstellung ab und fügt sie in Umgebungsvariablen ein |
| Passwortrotation | Ein Skript generiert ein neues Passwort, aktualisiert das Zielsystem und speichert es in Passwork |
| Prüfung und Berichterstattung | Ein Dienst sammelt Zugriffs- und Änderungsdaten für Compliance-Berichte |
| Migration | Massenimport/-export von Datensätzen über Umgebungen hinweg |
Detaillierte API-Dokumentation: Passwork HTTP API. Erneuerung des API-Token-Paars über HTTP: API-Token-Rotation.
Integrierte Automatisierungstools
passwork-cli– Befehlszeilendienstprogramm für DevOps und CI/CD: Geheimnisse abrufen, in Umgebungsvariablen einfügen und Rotation verwalten.- Python SDK – Bibliothek für erweiterte Automatisierung: Migrationen, Integritätsprüfungen und Massenvorgänge.
Verwandte Dokumentation
- Passwork HTTP API: Übersicht
- API Token-Rotation (HTTP): API Token-Rotation
- CLI-Dienstprogramm (
passwork-cli): CLI-Dienstprogramm - Docker-Bild mit CLI: Docker-Container für CLI
- Python SDK: Python-Connector
- Integrationsbeispiele: Beispiele