## üì¶ Instala√ß√£o de Depend√™ncias

Instale as bibliotecas necess√°rias para este notebook.

# Capitulo 06 Gerenciamento Secrets

Notebook gerado automaticamente a partir do c√≥digo fonte python.


## üìù 1. Criando Secrets Tempor√°rios e Persistentes

Secrets tempor√°rios existem apenas durante a sess√£o, enquanto secrets persistentes ficam salvos em disco.

In [1]:
import duckdb
import os

con = duckdb.connect(database=':memory:')

## üîß Configura√ß√£o Inicial

Importa√ß√µes e configura√ß√£o da conex√£o com DuckDB.

In [2]:
# Criar secret tempor√°rio
con.execute("""
CREATE SECRET my_secret (
    TYPE s3,
    KEY_ID 'AKIAIOSFODNN7EXAMPLE',
    SECRET 'wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY',
    REGION 'us-east-1'
);
""")
print("‚úÖ Secret tempor√°rio criado")

‚úÖ Secret tempor√°rio criado


In [3]:
# Criar secret persistente
con.execute("""
CREATE PERSISTENT SECRET my_persistent_secret (
    TYPE s3,
    KEY_ID 'AKIAIOSFODNN7EXAMPLE',
    SECRET 'wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY'
);
""")
print("‚úÖ Secret persistente criado")

InvalidInputException: Invalid Input Error: Persistent secret with name 'my_persistent_secret' already exists in secret storage 'local_file'!

## üìÇ 2. Configurando Diret√≥rio de Secrets

Personalizar onde os secrets persistentes s√£o armazenados.

In [None]:
con.execute("""
-- Configurar diret√≥rio customizado
SET secret_directory = '/path/to/my_secrets_dir';

-- Verificar diret√≥rio atual
SELECT current_setting('secret_directory');
""")
print(con.fetchall())

## üéØ 3. Scopes - Limitando Acesso dos Secrets

Use scopes para controlar onde cada secret pode ser usado.

In [None]:
# Aplic√°vel a todos os buckets S3
con.execute("""
CREATE SECRET global_secret (
    TYPE s3,
    KEY_ID 'key1',
    SECRET 'secret1',
    SCOPE 's3://'
);
""")
print("‚úÖ Secret global criado")

In [None]:
# Apenas para buckets espec√≠ficos
con.execute("""
CREATE SECRET bucket1_secret (
    TYPE s3,
    KEY_ID 'key_for_bucket1',
    SECRET 'secret_for_bucket1',
    SCOPE 's3://my-bucket-1'
);

CREATE SECRET bucket2_secret (
    TYPE s3,
    KEY_ID 'key_for_bucket2',
    SECRET 'secret_for_bucket2',
    SCOPE 's3://my-bucket-2'
);
""")
print("‚úÖ Secrets espec√≠ficos criados")

## üîç 4. Verificando Qual Secret Ser√° Usado

Use `which_secret()` para testar qual secret ser√° aplicado.

In [None]:
# Ver qual secret ser√° usado para um path
con.execute("""
SELECT which_secret('s3://my-bucket/file.parquet', 's3');
""")
print(con.fetchall())

## üìã 5. Listando Secrets Configurados

Visualize todos os secrets dispon√≠veis no sistema.

In [None]:
# Ver todos os secrets configurados
con.execute("""
SELECT * FROM duckdb_secrets();
""")
print(con.fetchall())

In [None]:
# Filtrar por tipo
con.execute("""
SELECT * FROM duckdb_secrets() WHERE type = 's3';
""")
print(con.fetchall())

## ‚ôªÔ∏è 6. Atualizando e Deletando Secrets

Gerenciar o ciclo de vida dos secrets.

In [None]:
# Atualizar secret existente
con.execute("""
CREATE OR REPLACE SECRET my_secret (
    TYPE s3,
    PROVIDER config,
    KEY_ID 'NEW_KEY_ID',
    SECRET 'NEW_SECRET_KEY',
    REGION 'us-west-2'
);
""")
print("‚úÖ Secret atualizado")

In [None]:
# Deletar secret da sess√£o atual
con.execute("""
DROP SECRET IF EXISTS my_secret;
""")
print("‚úÖ Secret deletado")

## üîÑ 7. Auto-Refresh e Credential Chain

Secrets que se renovam automaticamente usando AWS credential chain.

In [None]:
# Secret com auto-refresh
con.execute("""
CREATE SECRET auto_refresh_secret (
    TYPE s3,
    PROVIDER credential_chain,
    REFRESH auto
);
""")
print("‚úÖ Secret com auto-refresh criado")

## ‚òÅÔ∏è 8. Secrets para Outros Servi√ßos Cloud

DuckDB suporta m√∫ltiplos provedores de cloud.

In [None]:
# Cloudflare R2
con.execute("""
CREATE SECRET r2_secret (
    TYPE r2,
    KEY_ID 'AKIAIOSFODNN7EXAMPLE',
    SECRET 'wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY',
    ACCOUNT_ID 'my_account_id'
);
""")
print("‚úÖ R2 secret criado")

In [None]:
# Google Cloud Storage
con.execute("""
CREATE SECRET gcs_secret (
    TYPE gcs,
    KEY_ID 'my_hmac_access_id',
    SECRET 'my_hmac_secret_key'
);
""")
print("‚úÖ GCS secret criado")

In [None]:
# HTTP/Bearer tokens
con.execute("""
CREATE SECRET http_auth (
    TYPE http,
    BEARER_TOKEN 'your_bearer_token'
);
""")
print("‚úÖ HTTP secret criado")

## üè¢ 9. Padr√µes de Uso - Multi-ambiente

Configurar secrets para diferentes ambientes e departamentos.

In [None]:
# Secrets por ambiente
con.execute("""
CREATE PERSISTENT SECRET dev (
    TYPE s3,
    PROVIDER config,
    KEY_ID 'dev_key',
    SECRET 'dev_secret',
    REGION 'us-east-1',
    SCOPE 's3://myapp-dev'
);

CREATE PERSISTENT SECRET staging (
    TYPE s3,
    PROVIDER config,
    KEY_ID 'staging_key',
    SECRET 'staging_secret',
    REGION 'us-east-1',
    SCOPE 's3://myapp-staging'
);

CREATE PERSISTENT SECRET prod (
    TYPE s3,
    PROVIDER config,
    KEY_ID 'prod_key',
    SECRET 'prod_secret',
    REGION 'us-east-1',
    SCOPE 's3://myapp-prod'
);
""")
print("‚úÖ Secrets por ambiente criados")

## ‚úÖ 10. Best Practices de Seguran√ßa

Pr√°ticas recomendadas para gerenciamento seguro de secrets.

In [None]:
# ‚úÖ BOM: Use credential_chain em produ√ß√£o
con.execute("""
CREATE SECRET prod_secret (
    TYPE s3,
    PROVIDER credential_chain
);
""")

# ‚úÖ BOM: Limite escopo
con.execute("""
CREATE SECRET limited_secret (
    TYPE s3,
    PROVIDER config,
    KEY_ID 'key',
    SECRET 'secret',
    SCOPE 's3://specific-bucket/specific-path'
);
""")

print("‚úÖ Secrets seguros configurados")

## üß™ 11. Exerc√≠cios Pr√°ticos

Testes para verificar seu entendimento.

In [None]:
# Exerc√≠cio 1: Criar secrets com diferentes scopes
con.execute("""
CREATE SECRET bucket_a (
    TYPE s3,
    PROVIDER config,
    KEY_ID 'key_a',
    SECRET 'secret_a',
    SCOPE 's3://bucket-a'
);

CREATE SECRET bucket_b (
    TYPE s3,
    PROVIDER config,
    KEY_ID 'key_b',
    SECRET 'secret_b',
    SCOPE 's3://bucket-b'
);
""")

# Verificar qual secret √© usado
con.execute("""
SELECT which_secret('s3://bucket-a/file.parquet', 's3') as bucket_a_secret;
""")
print(con.fetchall())

con.execute("""
SELECT which_secret('s3://bucket-b/file.parquet', 's3') as bucket_b_secret;
""")
print(con.fetchall())

In [None]:
# Exerc√≠cio 2: Gerenciar ciclo completo
con.execute("""
CREATE PERSISTENT SECRET test_secret (TYPE s3, PROVIDER credential_chain, SCOPE 's3://test-bucket');
""")

# Listar
con.execute("""
SELECT name, type, scope, persist FROM duckdb_secrets() WHERE name = 'test_secret';
""")
print("Secrets listados:", con.fetchall())

# Atualizar
con.execute("""
CREATE OR REPLACE PERSISTENT SECRET test_secret (
    TYPE s3,
    PROVIDER config,
    KEY_ID 'new_key',
    SECRET 'new_secret',
    SCOPE 's3://test-bucket'
);
""")
print("‚úÖ Secret atualizado")

# Deletar
con.execute("""
DROP PERSISTENT SECRET IF EXISTS test_secret;
""")
print("‚úÖ Secret deletado")