vault de credenciais¶
o vault de credenciais é onde ficam guardadas, de forma criptografada, todas as credenciais de conexão usadas pelos workflows — usuário e senha de um banco de dados, token de uma API, chave de acesso de um data warehouse, entre outras. os nós de workflow referenciam uma credencial do vault; eles nunca armazenam o segredo diretamente na configuração do pipeline.
por que isso é mais seguro do que colar a senha no conector
é uma prática comum (e arriscada) em outras ferramentas de automação colar usuário e senha diretamente no campo de configuração de um conector. isso significa que o segredo fica espalhado em cada workflow que o utiliza, aparece em exports/backups do pipeline, e se um dia a senha precisar ser trocada, alguém precisa lembrar (e ter acesso) de editar cada workflow que a usa, um por um. com o vault, o segredo existe em um único lugar, é referenciado por identificador, e trocar a senha em um lugar só atualiza automaticamente todos os workflows que dependem dela — sem precisar tocar em nenhum pipeline.
tipos de credencial suportados¶
o vault cobre tanto autenticação para APIs quanto conexões com bancos de dados e data warehouses:
| categoria | tipos |
|---|---|
| autenticação HTTP | basic auth, bearer token, OAuth2 (client credentials), form-data, API key |
| bancos relacionais | PostgreSQL, MySQL, SQL Server, Oracle, Redshift |
| bancos NoSQL | MongoDB |
| data warehouses / cloud | Snowflake, Databricks, BigQuery |
como cadastrar uma credencial¶
- acesse a tela de credenciais do workspace ou da organização.
- escolha o tipo de credencial (por exemplo, "postgresql" ou "bearer token").
- preencha os campos pedidos — cada tipo tem seus próprios campos (host/porta/banco/usuário/senha para bancos; token para bearer; client id/secret para OAuth2, etc.).
- dê um nome descritivo à credencial, para reconhecê-la facilmente ao configurar um nó de workflow.
- salve. a credencial passa a ficar disponível para ser selecionada em qualquer nó de workflow que precise dela.
uma credencial pode pertencer à organização inteira (disponível em todos os workspaces) ou ficar restrita a um workspace específico.
como o segredo fica protegido¶
ao salvar uma credencial, a plataforma separa automaticamente os campos em duas categorias:
- campos públicos — informações não sensíveis, como host, porta, nome do banco ou schema. ficam salvos em texto simples, pois não representam risco por si só e ajudam a identificar visualmente a conexão.
- campos secretos — usuário, senha, token, client secret, chave de API, entre outros. esses campos são sempre criptografados antes de serem gravados, e nunca retornam em texto plano por nenhuma tela ou resposta da API — nem mesmo para quem está editando a própria credencial.
na listagem de credenciais, cada uma exibe um preview mascarado (por exemplo, postgresql: meubanco.empresa.com:5432/vendas ou bearer: eyJh...7f2a) — o suficiente para reconhecer qual credencial é qual, sem nunca expor o segredo completo.
quem pode ver o segredo em texto puro
ninguém, através da interface ou da API. a descriptografia só acontece internamente, no momento exato em que um workflow precisa se conectar à fonte ou destino — o valor descriptografado existe apenas em memória, pelo tempo mínimo necessário para abrir a conexão, e nunca é registrado em log.
como um workflow usa uma credencial¶
ao configurar um nó de conexão (fonte ou destino) em um workflow, você seleciona a credencial pelo nome — o workflow guarda apenas uma referência (um identificador) para a credencial, nunca o segredo em si. isso significa que:
- inspecionar a configuração de um workflow, exportar um pipeline ou revisar seu histórico de versões nunca expõe uma senha ou token;
- trocar uma senha é feito em um lugar só: atualize a credencial no vault, e todo workflow que a referencia passa a usar o novo valor automaticamente, na próxima execução — sem precisar editar nenhum pipeline.
auditoria¶
toda operação sobre uma credencial do vault — criação, leitura, atualização e remoção — é registrada na trilha de auditoria da plataforma, incluindo o horário, o usuário responsável e o endereço IP de origem. isso vale inclusive para o simples ato de consultar uma credencial já existente.
controle de acesso¶
o vault de credenciais respeita o RBAC da organização: apenas membros da organização à qual a credencial pertence conseguem visualizá-la, criá-la, editá-la ou removê-la.
removendo uma credencial em uso
remover uma credencial que ainda está referenciada por um workflow ativo vai quebrar a próxima execução desse pipeline, já que o nó não vai mais encontrar a credencial referenciada. confirme que nenhum workflow em produção depende da credencial antes de removê-la.