Pular para conteúdo

vault de credenciais

o vault de credenciais é onde ficam guardadas, de forma criptografada, todas as credenciais de conexão usadas pelos workflows — usuário e senha de um banco de dados, token de uma API, chave de acesso de um data warehouse, entre outras. os nós de workflow referenciam uma credencial do vault; eles nunca armazenam o segredo diretamente na configuração do pipeline.

por que isso é mais seguro do que colar a senha no conector

é uma prática comum (e arriscada) em outras ferramentas de automação colar usuário e senha diretamente no campo de configuração de um conector. isso significa que o segredo fica espalhado em cada workflow que o utiliza, aparece em exports/backups do pipeline, e se um dia a senha precisar ser trocada, alguém precisa lembrar (e ter acesso) de editar cada workflow que a usa, um por um. com o vault, o segredo existe em um único lugar, é referenciado por identificador, e trocar a senha em um lugar só atualiza automaticamente todos os workflows que dependem dela — sem precisar tocar em nenhum pipeline.

tipos de credencial suportados

o vault cobre tanto autenticação para APIs quanto conexões com bancos de dados e data warehouses:

categoria tipos
autenticação HTTP basic auth, bearer token, OAuth2 (client credentials), form-data, API key
bancos relacionais PostgreSQL, MySQL, SQL Server, Oracle, Redshift
bancos NoSQL MongoDB
data warehouses / cloud Snowflake, Databricks, BigQuery

como cadastrar uma credencial

  1. acesse a tela de credenciais do workspace ou da organização.
  2. escolha o tipo de credencial (por exemplo, "postgresql" ou "bearer token").
  3. preencha os campos pedidos — cada tipo tem seus próprios campos (host/porta/banco/usuário/senha para bancos; token para bearer; client id/secret para OAuth2, etc.).
  4. dê um nome descritivo à credencial, para reconhecê-la facilmente ao configurar um nó de workflow.
  5. salve. a credencial passa a ficar disponível para ser selecionada em qualquer nó de workflow que precise dela.

uma credencial pode pertencer à organização inteira (disponível em todos os workspaces) ou ficar restrita a um workspace específico.

como o segredo fica protegido

ao salvar uma credencial, a plataforma separa automaticamente os campos em duas categorias:

  • campos públicos — informações não sensíveis, como host, porta, nome do banco ou schema. ficam salvos em texto simples, pois não representam risco por si só e ajudam a identificar visualmente a conexão.
  • campos secretos — usuário, senha, token, client secret, chave de API, entre outros. esses campos são sempre criptografados antes de serem gravados, e nunca retornam em texto plano por nenhuma tela ou resposta da API — nem mesmo para quem está editando a própria credencial.

na listagem de credenciais, cada uma exibe um preview mascarado (por exemplo, postgresql: meubanco.empresa.com:5432/vendas ou bearer: eyJh...7f2a) — o suficiente para reconhecer qual credencial é qual, sem nunca expor o segredo completo.

quem pode ver o segredo em texto puro

ninguém, através da interface ou da API. a descriptografia só acontece internamente, no momento exato em que um workflow precisa se conectar à fonte ou destino — o valor descriptografado existe apenas em memória, pelo tempo mínimo necessário para abrir a conexão, e nunca é registrado em log.

como um workflow usa uma credencial

ao configurar um nó de conexão (fonte ou destino) em um workflow, você seleciona a credencial pelo nome — o workflow guarda apenas uma referência (um identificador) para a credencial, nunca o segredo em si. isso significa que:

  • inspecionar a configuração de um workflow, exportar um pipeline ou revisar seu histórico de versões nunca expõe uma senha ou token;
  • trocar uma senha é feito em um lugar só: atualize a credencial no vault, e todo workflow que a referencia passa a usar o novo valor automaticamente, na próxima execução — sem precisar editar nenhum pipeline.

auditoria

toda operação sobre uma credencial do vault — criação, leitura, atualização e remoção — é registrada na trilha de auditoria da plataforma, incluindo o horário, o usuário responsável e o endereço IP de origem. isso vale inclusive para o simples ato de consultar uma credencial já existente.

controle de acesso

o vault de credenciais respeita o RBAC da organização: apenas membros da organização à qual a credencial pertence conseguem visualizá-la, criá-la, editá-la ou removê-la.

removendo uma credencial em uso

remover uma credencial que ainda está referenciada por um workflow ativo vai quebrar a próxima execução desse pipeline, já que o nó não vai mais encontrar a credencial referenciada. confirme que nenhum workflow em produção depende da credencial antes de removê-la.