AWS Secrets Manager e Parameter Store
Usando Armazenamentos de Dados na AWS
Dunieski Otano
AWS Solutions Architect
O desastre da senha hardcoded
Dev hardcoda a senha do banco no código
Código enviado para repositório público no GitHub
Atacante acha a senha em 12 minutos
Banco apagado, resgate exigido
Por que nunca hardcodar segredos
Erros comuns
Hardcoded no código-fonte
Texto puro em arquivos de config
Commitado no controle de versão
Consequências
Expostos em repositórios públicos
Difícil de rotacionar
Sem trilha de auditoria
Visão geral do AWS Secrets Manager
Finalidade
Armazenar e rotacionar credenciais automaticamente
O que armazenar
Senhas de banco, chaves de API, tokens OAuth
Principais recursos
Rotação automática, criptografia KMS, auditoria
Rotação automática no Secrets Manager
Processo de rotação
Função Lambda atualiza credenciais
Janela de rotação
Define quando ocorre (rate ou cron)
Zero downtime
Senhas antiga e nova funcionam durante a rotação
Armazenando segredos em JSON
Segredos estruturados
Armazene vários valores em um único segredo
Formato JSON
{"username": "admin", "password": "...", "host": "db.example.com"}
Buscar e analisar
Use a API GetSecretValue
Visão geral do Parameter Store
Parte do
AWS Systems Manager
Finalidade
Armazenar configuração e segredos estáticos
Organização hierárquica
/app/prod/db/password
/app/dev/api-key
Camada gratuita
Até 10.000 parâmetros padrão (máx. 4 KB)
Parâmetros avançados (máx. 8 KB) têm custo
Tipos de parâmetro no Parameter Store
String
Texto simples (feature flags, endpoints)
StringList
Valores separados por vírgula (IPs)
SecureString
Criptografado com KMS (senhas, chaves de API)
Guia: Secrets Manager vs Parameter Store
Use Secrets Manager quando
Precisa de rotação automática
Armazenar credenciais de banco
Use Parameter Store quando
Valores de configuração estáticos
Sensível a custos (camada gratuita)
Use ambos juntos
Padrão comum em produção
Vamos praticar!
Usando Armazenamentos de Dados na AWS
Preparing Video For Download...