Gestión de Secretos
Prácticas y herramientas para almacenar, distribuir y rotar credenciales, API keys y otros datos sensibles de forma segura en aplicaciones y pipelines.
¿Qué es?
Secrets management es la práctica de gestionar datos sensibles (contraseñas, API keys, certificados, tokens) de forma segura a lo largo del ciclo de vida de las aplicaciones. El principio fundamental: los secretos nunca deben estar en código.
Anti-patrones
- Secretos hardcodeados en código fuente
- Secretos en variables de entorno sin encriptar
- Secretos compartidos por Slack/email
- Un solo secreto compartido entre todos los ambientes
Herramientas
| Herramienta | Tipo |
|---|---|
| AWS Secrets Manager | Managed, rotación automática |
| AWS SSM Parameter Store | Managed, más simple |
| HashiCorp Vault | Self-hosted, muy completo |
| 1Password/Doppler | SaaS, developer-friendly |
| SOPS | Encriptación de archivos en Git |
Mejores prácticas
- Rotación automática de secretos
- Principio de mínimo privilegio
- Auditoría de acceso a secretos
- Diferentes secretos por ambiente
- Detección de secretos en código (GitLeaks, TruffleHog)
¿Por qué importa?
Los secretos hardcodeados en código o variables de entorno son una de las causas más comunes de brechas de seguridad. Un sistema de gestión de secretos centralizado — con rotación automática, auditoría y acceso basado en roles — es infraestructura de seguridad básica.
Referencias
- AWS Secrets Manager — Documentación oficial.
- HashiCorp Vault — HashiCorp, 2024. Solución líder de gestión de secretos.
- Secrets Manager Best Practices — AWS, 2024. Mejores prácticas oficiales.
Contenido relacionado
- Ingeniería de Plataforma
Disciplina que diseña y construye plataformas internas de autoservicio para que los equipos de desarrollo desplieguen y operen aplicaciones de forma autónoma.
- AWS IAM
Servicio de gestión de identidad y acceso de AWS que controla quién puede hacer qué en tu cuenta, con políticas granulares basadas en el principio de mínimo privilegio.
- PR Auto-Approver
GitHub App serverless que auto-aprueba pull requests después de que CI pasa, con revisión de código opcional vía Amazon Bedrock. Cinco repositorios: app TypeScript/Probot, módulo Terraform AWS (Lambda + API Gateway + Secrets Manager + SQS DLQ), módulo Terraform GitHub (webhooks), infra de despliegue y repo de pruebas.