Gestión de Secretos
Prácticas y herramientas para almacenar, distribuir y rotar credenciales, API keys y otros datos sensibles de forma segura en aplicaciones y pipelines.
seed#secrets#security#vault#ssm#credentials#encryption
¿Qué es?
Secrets management es la práctica de gestionar datos sensibles (contraseñas, API keys, certificados, tokens) de forma segura a lo largo del ciclo de vida de las aplicaciones. El principio fundamental: los secretos nunca deben estar en código.
Anti-patrones
- Secretos hardcodeados en código fuente
- Secretos en variables de entorno sin encriptar
- Secretos compartidos por Slack/email
- Un solo secreto compartido entre todos los ambientes
Herramientas
| Herramienta | Tipo |
|---|---|
| AWS Secrets Manager | Managed, rotación automática |
| AWS SSM Parameter Store | Managed, más simple |
| HashiCorp Vault | Self-hosted, muy completo |
| 1Password/Doppler | SaaS, developer-friendly |
| SOPS | Encriptación de archivos en Git |
Mejores prácticas
- Rotación automática de secretos
- Principio de mínimo privilegio
- Auditoría de acceso a secretos
- Diferentes secretos por ambiente
- Detección de secretos en código (GitLeaks, TruffleHog)
¿Por qué importa?
Los secretos hardcodeados en código o variables de entorno son una de las causas más comunes de brechas de seguridad. Un sistema de gestión de secretos centralizado — con rotación automática, auditoría y acceso basado en roles — es infraestructura de seguridad básica.
Referencias
- AWS Secrets Manager — Documentación oficial.
- HashiCorp Vault — HashiCorp, 2024. Solución líder de gestión de secretos.
- Secrets Manager Best Practices — AWS, 2024. Mejores prácticas oficiales.