intro
title: Introducción path: secret-management/intro slug: /secret-management/intro pagination_next: secret-management/concepts pagination_prev: null sidebar_position: 1 description: >- Passwork como gestor de secretos: almacenamiento, obtención y rotación de secretos en CI/CD e infraestructura utilizando CLI, API y SDK. keywords:
- Passwork
- secrets
- secrets manager
- CI/CD
- automation
- passwork-cli
- API
- Python SDK
Passwork como gestor de secretos
Passwork va más allá de ser un gestor de contraseñas empresarial — es un gestor de secretos completo diseñado para flujos de trabajo de infraestructura y CI/CD. Esta sección cubre cómo almacenar, obtener y rotar secretos con passwork-cli, la API HTTP y el Python SDK.
Qué son los secretos
Los secretos se refieren a cualquier dato sensible que no debe almacenarse en texto plano:
| Categoría | Ejemplos |
|---|---|
| Contraseñas | Credenciales de bases de datos, contraseñas de cuentas del sistema, contraseñas de administrador local |
| Claves de API y tokens | Tokens de GitHub/GitLab, claves de proveedores de nube, tokens OAuth, tokens de acceso personal |
| Materiales criptográficos | Claves privadas, certificados, claves SSH |
| Secretos de configuración | Cadenas de conexión (DSN), credenciales de brokers de mensajes, tokens de integración |
Arquitectura
Zero-Knowledge y cifrado del lado del cliente
Passwork sigue el principio Zero-Knowledge: el servidor nunca ve datos descifrados. Todo el cifrado y descifrado ocurre en el lado del cliente — ya sea en el navegador, passwork-cli o el SDK. Solo se almacena texto cifrado en la base de datos.
Si el servidor fuera comprometido, los atacantes solo obtendrían datos cifrados sin medios para leerlos.
El modo Zero-Knowledge puede deshabilitarse en la versión on-premise
Enfoque API-first
Passwork utiliza un diseño API-first: la interfaz web y todos los clientes oficiales interactúan a través de la misma API HTTP disponible para consumidores externos. Esto proporciona:
- Paridad completa de funcionalidades — todo lo que es posible en la interfaz de usuario también es posible a través de la API: crear bóvedas y carpetas, gestionar registros, buscar, configurar derechos de acceso y ver el historial de cambios.
- Contrato estable — la API está versionada y documentada; las actualizaciones de la interfaz no rompen las integraciones existentes.
- Acceso programático desde cualquier entorno — scripts, pipelines de CI/CD, microservicios y herramientas internas pueden interactuar con Passwork directamente.
Casos de uso comunes de la API:
| Escenario | Qué hace la API |
|---|---|
| Pipeline de CI/CD | Obtiene secretos antes del despliegue y los inyecta en variables de entorno |
| Rotación de contraseñas | Un script genera una nueva contraseña, actualiza el sistema de destino y la almacena en Passwork |
| Auditoría e informes | Un servicio recopila datos de acceso y modificación para informes de cumplimiento |
| Migración | Importación/exportación masiva de registros entre entornos |
Documentación detallada de la API: API HTTP de Passwork.
Herramientas de automatización integradas
passwork-cli— utilidad de línea de comandos para DevOps y CI/CD: obtención de secretos, inyección en variables de entorno y gestión de rotación.- Python SDK — biblioteca para automatización avanzada: migraciones, verificaciones de integridad y operaciones masivas.
Documentación relacionada
- API HTTP de Passwork: Descripción general
- Utilidad CLI (
passwork-cli): Utilidad CLI - Imagen Docker con CLI: Contenedor Docker para CLI
- Python SDK: Conector Python
- Ejemplos de integración: Ejemplos