In [None]:
import duckdb
import os
import shutil
from pathlib import Path

# Helpers para usar em todos os exemplos
BASE_DIR = Path.cwd()


def ensure_extension(name: str):
    try:
        duckdb.execute(f"INSTALL {name}; LOAD {name};")
        print(f"✓ Extensão '{name}' carregada")
        return True
    except Exception as exc:
        print(f"⚠️ Não foi possível carregar a extensão '{name}': {exc}")
        return False


def fresh_db(filename: str) -> Path:
    db_path = BASE_DIR / filename
    if db_path.exists():
        db_path.unlink()
    return db_path


def cleanup(db_path: Path):
    if db_path.exists():
        db_path.unlink()
    secrets_dir = db_path.parent / ".duckdb"
    if secrets_dir.exists() and not any(secrets_dir.iterdir()):
        secrets_dir.rmdir()


# Capítulo 06: Secret Providers
Como o DuckDB resolve credenciais para serviços cloud via `CREATE SECRET`, cobrindo providers `config`, `credential_chain`, `managed_identity` e `service_principal`.

## Dependências
- DuckDB já instalado no ambiente.
- Extensões usadas: `httpfs` (S3/GCS); `azure` (Azure) — esta pode não estar disponível offline.
- Todos os exemplos criam databases temporários e fazem limpeza no final.

In [None]:
# Visão geral dos providers
print(
    """
Providers principais no DuckDB:
- config (padrão): credenciais explícitas no CREATE SECRET.
- credential_chain: tenta fontes em ordem (env, config files, STS, metadata etc.).
- managed_identity (Azure): usa identidade gerenciada do recurso.
- service_principal (Azure): usa app registration (tenant/client/secret ou cert).
"""
)

ensure_extension("httpfs")

db_path = fresh_db("providers_config.duckdb")
con = duckdb.connect(db_path)
con.execute(
    """
    CREATE SECRET s3_config (
        TYPE s3,
        PROVIDER config,
        KEY_ID 'explicit_key',
        SECRET 'explicit_secret'
    )
    """
)

secrets = con.execute(
    "SELECT name, type, provider FROM duckdb_secrets()"
).df()
print(secrets)

con.execute("DROP SECRET s3_config")
con.close()
cleanup(db_path)


## Exemplo 2: Provider config explícito vs implícito


In [None]:
ensure_extension("httpfs")

db_path = fresh_db("providers_config_compare.duckdb")
con = duckdb.connect(db_path)

con.execute(
    """
    CREATE SECRET s3_explicit (
        TYPE s3,
        PROVIDER config,
        KEY_ID 'AKIAIOSFODNN7EXAMPLE',
        SECRET 'wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY',
        REGION 'us-east-1'
    )
    """
)

con.execute(
    """
    CREATE SECRET s3_implicit (
        TYPE s3,
        KEY_ID 'AKIAIOSFODNN7EXAMPLE',
        SECRET 'wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY',
        REGION 'us-east-1'
    )
    """
)

secrets = con.execute(
    "SELECT name, provider FROM duckdb_secrets() WHERE name LIKE 's3_%'"
).df()
print(secrets)

con.execute("DROP SECRET s3_explicit")
con.execute("DROP SECRET s3_implicit")
con.close()
cleanup(db_path)


## Exemplo 3: credential_chain (AWS) usando env


In [None]:
ensure_extension("httpfs")

# Variáveis de ambiente simuladas (valores de exemplo, não realizam chamadas externas)
os.environ["AWS_ACCESS_KEY_ID"] = "AKIAIOSFODNN7EXAMPLE"
os.environ["AWS_SECRET_ACCESS_KEY"] = "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
os.environ["AWS_REGION"] = "us-east-1"

# Usa nome único para evitar bloqueio em Windows
unique_db = f"providers_chain_env_{os.getpid()}_{os.urandom(4).hex()}.duckdb"
db_path = BASE_DIR / unique_db

con = duckdb.connect(db_path)

con.execute(
    """
    CREATE SECRET s3_chain_env (
        TYPE s3,
        PROVIDER credential_chain,
        CHAIN 'env;config'
    )
    """
)

info = con.execute(
    "SELECT name, provider FROM duckdb_secrets() WHERE name = 's3_chain_env'"
).df()
print(info)

con.execute("DROP SECRET s3_chain_env")
con.close()
cleanup(db_path)


## Exemplo 4: credential_chain customizada (ordem diferente)


In [None]:
ensure_extension("httpfs")

unique_db = f"providers_chain_custom_{os.getpid()}_{os.urandom(4).hex()}.duckdb"
db_path = BASE_DIR / unique_db
con = duckdb.connect(db_path)

con.execute(
    """
    CREATE SECRET s3_chain_custom (
        TYPE s3,
        PROVIDER credential_chain,
        CHAIN 'config;env'
    )
    """
)

info = con.execute(
    "SELECT name, provider FROM duckdb_secrets() WHERE name = 's3_chain_custom'"
).df()
print(info)

con.execute("DROP SECRET s3_chain_custom")
con.close()
cleanup(db_path)


## Exemplo 5: credential_chain para GCS (ADC)


In [None]:
ensure_extension("httpfs")

db_path = fresh_db("providers_gcs_chain.duckdb")
con = duckdb.connect(db_path)

con.execute(
    """
    CREATE SECRET gcs_chain (
        TYPE gcs,
        PROVIDER credential_chain
    )
    """
)

info = con.execute(
    "SELECT name, provider FROM duckdb_secrets() WHERE name = 'gcs_chain'"
).df()
print(info)

con.execute("DROP SECRET gcs_chain")
con.close()
cleanup(db_path)


## Exemplo 6: Azure providers (managed_identity e service_principal)


In [None]:
has_azure = ensure_extension("azure")

if has_azure:
    unique_db = f"providers_azure_{os.getpid()}_{os.urandom(4).hex()}.duckdb"
    db_path = BASE_DIR / unique_db
    con = duckdb.connect(db_path)
    try:
        con.execute(
            """
            CREATE SECRET azure_managed (
                TYPE azure,
                PROVIDER managed_identity,
                ACCOUNT_NAME 'mystorageaccount'
            )
            """
        )

        con.execute(
            """
            CREATE SECRET azure_sp (
                TYPE azure,
                PROVIDER service_principal,
                TENANT_ID '00000000-0000-0000-0000-000000000000',
                CLIENT_ID '11111111-1111-1111-1111-111111111111',
                CLIENT_SECRET 'client_secret_value_here',
                ACCOUNT_NAME 'mystorageaccount'
            )
            """
        )

        info = con.execute(
            "SELECT name, provider FROM duckdb_secrets() WHERE name LIKE 'azure_%'"
        ).df()
        print(info)

        con.execute("DROP SECRET azure_managed")
        con.execute("DROP SECRET azure_sp")
    except Exception as exc:
        print(f"⚠️ Azure providers não suportados nesta versão da extensão: {exc}")
    finally:
        con.close()
        cleanup(db_path)
else:
    print("Extensão 'azure' indisponível; exemplos Azure foram pulados.")


---
### Execução
- Rode os blocos em ordem: helpers → Exemplo 1 a 6.
- Cada bloco cria/remova seus secrets e databases temporários.
- Azure será pulado se a extensão não estiver disponível.

Consulta rápida: https://duckdb.org/docs/stable/sql/statements/create_secret.html