# Cap√≠tulo 03: Configura√ß√£o de Credenciais AWS/S3

Este cap√≠tulo demonstra diferentes m√©todos para configurar credenciais de acesso ao S3 no DuckDB, incluindo Secrets expl√≠citos, Cadeia de Credenciais (Vari√°veis de Ambiente) e Perfis AWS.

In [1]:
import duckdb
import os
import boto3
from botocore.exceptions import ClientError

# ==============================================================================
# SETUP MINIO
# ==============================================================================
print(f"--- Iniciando Cap√≠tulo 03: Configura√ß√£o de Credenciais ---")

MINIO_ENDPOINT = "http://localhost:9000"
MINIO_ACCESS_KEY = "admin"
MINIO_SECRET_KEY = "password"
BUCKET_NAME = "learn-duckdb-s3"

s3_client = boto3.client(
    's3',
    endpoint_url=MINIO_ENDPOINT,
    aws_access_key_id=MINIO_ACCESS_KEY,
    aws_secret_access_key=MINIO_SECRET_KEY
)
try:
    s3_client.create_bucket(Bucket=BUCKET_NAME)
except ClientError:
    pass

# Helper to write verify file
with open("creds.csv", "w") as f:
    f.write("id,msg\n1,success")
s3_client.upload_file("creds.csv", BUCKET_NAME, "creds.csv")
os.remove("creds.csv")
print("Ambiente configurado.")

--- Iniciando Cap√≠tulo 03: Configura√ß√£o de Credenciais ---
Ambiente configurado.


## ü¶Ü Setup DuckDB

In [2]:
con = duckdb.connect(database=':memory:')
con.execute("INSTALL httpfs; LOAD httpfs;")

<duckdb.duckdb.DuckDBPyConnection at 0x23516ea0870>

## üîë M√©todo 1: CREATE SECRET (Expl√≠cito)

A forma mais direta de configurar credenciais √© criar um SECRET do tipo S3 com todas as informa√ß√µes necess√°rias.

In [3]:
print("\n--- M√©todo 1: CREATE SECRET (Expl√≠cito) ---")
con.execute(f"""
CREATE OR REPLACE SECRET secret_explicit (
    TYPE S3,
    KEY_ID '{MINIO_ACCESS_KEY}',
    SECRET '{MINIO_SECRET_KEY}',
    REGION 'us-east-1',
    ENDPOINT '{MINIO_ENDPOINT.replace("http://", "")}',
    URL_STYLE 'path',
    USE_SSL 'false'
);
""")
res = con.execute(f"SELECT * FROM 's3://{BUCKET_NAME}/creds.csv'").fetchall()
print(f"Leitura com Secret Expl√≠cito: {res}")


--- M√©todo 1: CREATE SECRET (Expl√≠cito) ---
Leitura com Secret Expl√≠cito: [(1, 'success')]


## üîó M√©todo 2: Vari√°veis de Ambiente + Credential Chain

O DuckDB suporta o AWS Credential Chain padr√£o. Se as vari√°veis de ambiente `AWS_ACCESS_KEY_ID` e `AWS_SECRET_ACCESS_KEY` estiverem definidas, podemos usar `PROVIDER CREDENTIAL_CHAIN`.

**Nota:** Para MinIO e outros S3-compat√≠veis, ainda precisamos especificar o `ENDPOINT` manualmente no secret, pois as vari√°veis de ambiente padr√£o da AWS n√£o cobrem endpoints customizados de forma universal.

In [4]:
print("\n--- M√©todo 2: Vari√°veis de Ambiente + Credential Chain ---")
# Limpar secrets anteriores para garantir que estamos testando o novo m√©todo
con.execute("DROP SECRET IF EXISTS secret_explicit")

# Definir Env Vars
os.environ["AWS_ACCESS_KEY_ID"] = MINIO_ACCESS_KEY
os.environ["AWS_SECRET_ACCESS_KEY"] = MINIO_SECRET_KEY
os.environ["AWS_DEFAULT_REGION"] = "us-east-1"

# Criar secreto usando PROVIDER CREDENTIAL_CHAIN
con.execute(f"""
CREATE OR REPLACE SECRET secret_from_env (
    TYPE S3,
    PROVIDER CREDENTIAL_CHAIN,
    ENDPOINT '{MINIO_ENDPOINT.replace("http://", "")}',
    URL_STYLE 'path',
    USE_SSL 'false'
);
""")

res = con.execute(f"SELECT * FROM 's3://{BUCKET_NAME}/creds.csv'").fetchall()
print(f"Leitura com Env Vars: {res}")


--- M√©todo 2: Vari√°veis de Ambiente + Credential Chain ---
Leitura com Env Vars: [(1, 'success')]


## üë§ M√©todo 3: AWS Profile (Config)

Tamb√©m √© possivel usar `PROVIDER CONFIG` para ler do arquivo `~/.aws/config` e `~/.aws/credentials` especificando um profile.

In [5]:
print("\n--- M√©todo 3: Profile (Simulado via boto3 config logic) ---")
# O provider 'config' tentaria ler ~/.aws/config. N√£o vamos modificar o home do usu√°rio aqui.
# Mas a sintaxe seria:
print("Exemplo de sintaxe (n√£o executado):")
print("""
CREATE SECRET secret_profile (
    TYPE S3,
    PROVIDER CONFIG,
    PROFILE 'my-minio-profile'
);
""")


--- M√©todo 3: Profile (Simulado via boto3 config logic) ---
Exemplo de sintaxe (n√£o executado):

CREATE SECRET secret_profile (
    TYPE S3,
    PROVIDER CONFIG,
    PROFILE 'my-minio-profile'
);



# Capitulo 03 Configuracao Credenciais Aws

Notebook gerado automaticamente a partir do c√≥digo fonte python.


In [6]:
import duckdb
import os
import boto3
from botocore.exceptions import ClientError

# ==============================================================================
# SETUP MINIO
# ==============================================================================
print(f"--- Iniciando Cap√≠tulo 03: Configura√ß√£o de Credenciais ---")

MINIO_ENDPOINT = "http://localhost:9000"
MINIO_ACCESS_KEY = "admin"
MINIO_SECRET_KEY = "password"
BUCKET_NAME = "learn-duckdb-s3"

s3_client = boto3.client(
    's3',
    endpoint_url=MINIO_ENDPOINT,
    aws_access_key_id=MINIO_ACCESS_KEY,
    aws_secret_access_key=MINIO_SECRET_KEY
)
try:
    s3_client.create_bucket(Bucket=BUCKET_NAME)
    print(f"Bucket '{BUCKET_NAME}' verificado/criado.")
except ClientError:
    print(f"Bucket '{BUCKET_NAME}' j√° existe.")

# Helper to write verify file
with open("creds.csv", "w") as f:
    f.write("id,msg\n1,success")
s3_client.upload_file("creds.csv", BUCKET_NAME, "creds.csv")
os.remove("creds.csv")
print("Arquivo de teste 'creds.csv' enviado.")

--- Iniciando Cap√≠tulo 03: Configura√ß√£o de Credenciais ---
Bucket 'learn-duckdb-s3' j√° existe.
Arquivo de teste 'creds.csv' enviado.


In [7]:
con = duckdb.connect(database=':memory:')
con.execute("INSTALL httpfs; LOAD httpfs;")

print("\n--- M√©todo 1: CREATE SECRET (Expl√≠cito) ---")
con.execute(f"""
CREATE OR REPLACE SECRET secret_explicit (
    TYPE S3,
    KEY_ID '{MINIO_ACCESS_KEY}',
    SECRET '{MINIO_SECRET_KEY}',
    REGION 'us-east-1',
    ENDPOINT '{MINIO_ENDPOINT.replace("http://", "")}',
    URL_STYLE 'path',
    USE_SSL 'false'
);
""")
res = con.execute(f"SELECT * FROM 's3://{BUCKET_NAME}/creds.csv'").fetchall()
print(f"Leitura com Secret Expl√≠cito: {res}")


--- M√©todo 1: CREATE SECRET (Expl√≠cito) ---
Leitura com Secret Expl√≠cito: [(1, 'success')]


In [8]:
print("\n--- M√©todo 2: Vari√°veis de Ambiente + Credential Chain ---")
# Limpar secrets
con.execute("DROP SECRET IF EXISTS secret_explicit")
# Definir Env Vars
os.environ["AWS_ACCESS_KEY_ID"] = MINIO_ACCESS_KEY
os.environ["AWS_SECRET_ACCESS_KEY"] = MINIO_SECRET_KEY
os.environ["AWS_DEFAULT_REGION"] = "us-east-1"

# Nota: Para MinIO local sem SSL, ainda precisamos configurar o Endpoint explicitamente no Secret,
# pois as vars de ambiente AWS padr√£o n√£o cobrem ENDPOINT customizado para o DuckDB automaticamente
# sem usar configura√ß√µes espec√≠ficas OU um secret que use provider chain mas sobrescreva endpoint.
con.execute(f"""
CREATE OR REPLACE SECRET secret_from_env (
    TYPE S3,
    PROVIDER CREDENTIAL_CHAIN,
    ENDPOINT '{MINIO_ENDPOINT.replace("http://", "")}',
    URL_STYLE 'path',
    USE_SSL 'false'
);
""")

res = con.execute(f"SELECT * FROM 's3://{BUCKET_NAME}/creds.csv'").fetchall()
print(f"Leitura com Env Vars: {res}")


--- M√©todo 2: Vari√°veis de Ambiente + Credential Chain ---
Leitura com Env Vars: [(1, 'success')]
