Passwork como administrador de secretos
Passwork va más allá de ser un administrador de contraseñas empresariales: es un administrador de secretos completo diseñado para infraestructura y flujos de trabajo de CI/CD. Esta sección cubre cómo almacenar, recuperar y rotar secretos con passwork-cli, HTTP API y el SDK de Python.
¿Qué son los secretos?
Los secretos se refieren a cualquier dato confidencial que no debe almacenarse en texto sin formato:
| Categoría | Ejemplos |
|---|---|
| Contraseñas | Credenciales de base de datos, contraseñas de cuentas del sistema, contraseñas de administrador local |
| API claves y tokens | Tokens GitHub/GitLab, claves de proveedor de nube, tokens OAuth, tokens de acceso personal |
| Materiales criptográficos | Claves privadas, certificados, claves SSH |
| Secretos de configuración | Cadenas de conexión (DSN), credenciales del agente de mensajes, tokens de integración |
Arquitectura
Conocimiento cero y cifrado del lado del cliente
Passwork sigue el principio de conocimiento cero: el servidor nunca ve datos descifrados. Todo el cifrado y descifrado se realiza en el lado del cliente, ya sea en el navegador, passwork-cli o el SDK. En la base de datos sólo se almacena texto cifrado.
Si el servidor alguna vez estuviera comprometido, los atacantes solo obtendrían datos cifrados sin medios para leerlos.
El modo de conocimiento cero se puede desactivar en la versión local
API-primer acercamiento
Passwork utiliza un diseño API-first: la interfaz web y todos los clientes oficiales interactúan a través del mismo HTTP API disponible para consumidores externos. Esto proporciona:
- Paridad de funciones completa: todo lo posible en la interfaz de usuario también es posible a través de API: crear bóvedas y carpetas, administrar registros, buscar, configurar derechos de acceso y ver el historial de cambios.
- Contrato estable: el API está versionado y documentado; Las actualizaciones de la interfaz no interrumpen las integraciones existentes.
- Acceso programático desde cualquier entorno: los scripts, las canalizaciones de CI/CD, los microservicios y las herramientas internas pueden interactuar con Passwork directamente.
Casos de uso comunes de API:
| Escenario | Qué hace el API |
|---|---|
| Canalización de CI/CD | Obtiene secretos antes de la implementación y los inyecta en variables de entorno |
| Rotación de contraseñas | Un script genera una nueva contraseña, actualiza el sistema de destino y la almacena en Passwork |
| Auditoría y presentación de informes | Un servicio recopila datos de acceso y modificación para informes de cumplimiento |
| Migración | Importación/exportación masiva de registros entre entornos |
Documentación detallada de API: Passwork HTTP API. Renovación del par de tokens API sobre HTTP: rotación de tokens API.
Herramientas de automatización integradas
passwork-cli: utilidad de línea de comandos para DevOps y CI/CD: buscar secretos, inyectarlos en variables de entorno y manejar la rotación.- Python SDK: biblioteca para automatización avanzada: migraciones, comprobaciones de integridad y operaciones masivas.
Documentación relacionada
- Passwork HTTP API: Descripción general
- API rotación de token (HTTP): API rotación de token
- Utilidad CLI (
passwork-cli): Utilidad CLI - Imagen Docker con CLI: contenedor Docker para CLI
- SDK de Python: Conector de Python
- Ejemplos de integración: Ejemplos