# Capítulo 01: Introdução aos Secrets no DuckDB

O subsistema de Secrets do DuckDB (introduzido na versão 0.10.0) oferece uma maneira unificada e segura de gerenciar credenciais para diferentes provedores de nuvem e serviços.

Este notebook cobre:
1. Criação e gerenciamento de secrets
2. Tipos de secrets (S3, Azure, HTTP, etc.)
3. Escopos e seleção automática
4. Secrets temporários vs persistentes


In [1]:
import duckdb
import pandas as pd

# Conexão em memória
con = duckdb.connect()

# Instalar e carregar extensões necessárias
con.execute("INSTALL httpfs; LOAD httpfs;")
con.execute("INSTALL azure; LOAD azure;")
print("Extensões carregadas com sucesso.")

Extensões carregadas com sucesso.


## 1. Interface Unificada

O comando `CREATE SECRET` substitui configurações antigas (como `SET s3_access_key_id...`). Ele permite definir credenciais de forma estruturada.


In [2]:
# Criar um secret S3 de exemplo (com credenciais fictícias)
con.execute("""
    CREATE OR REPLACE SECRET s3_secret (
        TYPE s3,
        KEY_ID 'my_key',
        SECRET 'my_secret'
    )
""")

# Criar um secret Azure de exemplo
con.execute("""
    CREATE OR REPLACE SECRET azure_secret (
        TYPE azure,
        CONNECTION_STRING 'DefaultEndpointsProtocol=https;AccountName=kx;AccountKey=kx;EndpointSuffix=core.windows.net'
    )
""")

print("Secrets de exemplo criados.")

Secrets de exemplo criados.


### Tipos de Secrets Suportados
Abaixo, listamos os principais tipos de secrets que o DuckDB suporta (dependendo das extensões carregadas).


In [3]:
print("Tipos comuns de secrets:")
print("- s3: AWS S3, MinIO, Google Cloud Storage (HMAC), R2")
print("- r2: Cloudflare R2")
print("- gcs: Google Cloud Storage (Nativo)")
print("- azure: Azure Blob Storage")
print("- http: HTTP/HTTPS (Bearer tokens, Basic Auth)")
print("- huggingface: Acesso a datasets no Hugging Face")
print("- mysql / postgres: Conexões de banco de dados")

Tipos comuns de secrets:
- s3: AWS S3, MinIO, Google Cloud Storage (HMAC), R2
- r2: Cloudflare R2
- gcs: Google Cloud Storage (Nativo)
- azure: Azure Blob Storage
- http: HTTP/HTTPS (Bearer tokens, Basic Auth)
- huggingface: Acesso a datasets no Hugging Face
- mysql / postgres: Conexões de banco de dados


## 2. Gerenciando Secrets (Criar, Listar, Drop)

Podemos criar secrets com configurações específicas e listá-los usando a função `duckdb_secrets()`.


In [6]:
# Secret para S3 (exemplo completo)
con.execute("""
    CREATE OR REPLACE SECRET aws_data (
        TYPE s3,
        KEY_ID 'AKIAIOSFODNN7EXAMPLE',
        SECRET 'wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY',
        REGION 'us-east-1'
    )
""")

# Secret para HTTP com autenticação (Causa erro se o tipo http não estiver disponível/registrado)
try:
    con.execute("""
        CREATE OR REPLACE SECRET api_auth (
            TYPE http,
            BEARER_TOKEN 'my_bearer_token_here'
        )
    """)
    print("Secret HTTP criado.")
except Exception as e:
    print(f"Não foi possível criar secret HTTP: {e}")

# Listar secrets criados
secrets = con.execute("SELECT name, type, provider, storage FROM duckdb_secrets()").df()
print("Secrets ativos:")
print(secrets)

Não foi possível criar secret HTTP: Invalid Input Error: Secret type 'http' not found
Secrets ativos:
                   name   type provider     storage
0              aws_data     s3   config      memory
1          azure_secret  azure   config      memory
2             s3_secret     s3   config      memory
3  my_persistent_secret     s3   config  local_file
4               secret1     s3   config  local_file
5               secret6    gcs   config  local_file
6         __default_gcs    gcs   config  local_file


### Verificando Detalhes de um Secret Específico


In [5]:
# Verificar detalhes do secret 'aws_data'
secret_info = con.execute("""
    SELECT name, type, provider, scope
    FROM duckdb_secrets()
    WHERE name = 'aws_data'
""").fetchone()

print(f"Nome: {secret_info[0]}")
print(f"Tipo: {secret_info[1]}")
print(f"Provider: {secret_info[2]}")
print(f"Scope: {secret_info[3]}")

Nome: aws_data
Tipo: s3
Provider: config
Scope: ['s3://', 's3n://', 's3a://']


### IF NOT EXISTS e Remoção de Secrets

Use `IF NOT EXISTS` para evitar erros ao tentar criar um secret que já existe. Use `DROP SECRET` para remover.


In [7]:
# Criar secret apenas se não existir
con.execute("""
    CREATE SECRET IF NOT EXISTS unique_s3 (
        TYPE s3,
        KEY_ID 'key',
        SECRET 'secret'
    )
""")
print("Secret 'unique_s3' criado (ou verificado).")

# Deletar secret
con.execute("DROP SECRET IF EXISTS unique_s3")
print("Secret 'unique_s3' removido.")

# Verificar remoção
remaining = con.execute("SELECT name FROM duckdb_secrets() WHERE name='unique_s3'").fetchall()
print(f"Secrets restantes com nome 'unique_s3': {len(remaining)}")

Secret 'unique_s3' criado (ou verificado).
Secret 'unique_s3' removido.
Secrets restantes com nome 'unique_s3': 0


## 3. Escopos e Seleção Automática

DuckDB seleciona automaticamente o secret mais apropriado para uma operação com base no provedor (S3, GCS, Azure) e no escopo (prefixo da URL).


In [9]:
# Criar múltiplos secrets com diferentes scopes
con.execute("""
    CREATE OR REPLACE SECRET bucket1 (
        TYPE s3,
        KEY_ID 'key1',
        SECRET 'secret1',
        SCOPE 's3://bucket1/'
    )
""")

con.execute("""
    CREATE OR REPLACE SECRET bucket2 (
        TYPE s3,
        KEY_ID 'key2',
        SECRET 'secret2',
        SCOPE 's3://bucket2/'
    )
""")

# Verificar qual secret seria usado para determinadas URLs (requer DuckDB v0.10.2+)
try:
    secret1 = con.execute("SELECT * FROM which_secret('s3://bucket1/file.parquet', 's3')").df()
    secret2 = con.execute("SELECT * FROM which_secret('s3://bucket2/file.parquet', 's3')").df()

    print("Para s3://bucket1/file.parquet:")
    print(secret1[['name', 'scope']])

    print("\nPara s3://bucket2/file.parquet:")
    print(secret2[['name', 'scope']])
except Exception as e:
    print(f"Função 'which_secret' não disponível: {e}")
    # Fallback ou apenas ignorar
    print("Secrets criados com sucesso. O DuckDB usará o secret mais específico para cada URL.")

Função 'which_secret' não disponível: Catalog Error: Table Function with name which_secret does not exist!
Did you mean "duckdb_secrets"?
LINE 1: SELECT * FROM which_secret('s3://bucket1/file.parquet...
                      ^
Secrets criados com sucesso. O DuckDB usará o secret mais específico para cada URL.


## 4. Secrets Temporários vs Persistentes

* **TEMPORARY (Padrão):** Exisitem apenas na sessão atual (em memória).
* **PERSISTENT:** Salvos no diretório de configuração do usuário, persistem entre reinicializações do DuckDB.


In [10]:
# 1. Criar um secret TEMPORARY (omissão da palavra PERSISTENT)
con.execute("""
    CREATE OR REPLACE SECRET temp_secret (
        TYPE s3,
        KEY_ID 'temp_k',
        SECRET 'temp_s'
    )
""")

# 2. Criar um secret PERSISTENT
con.execute("""
    CREATE OR REPLACE PERSISTENT SECRET my_persistent_secret (
        TYPE s3,
        KEY_ID 'persist_k',
        SECRET 'persist_s'
    )
""")

# Listar e verificar a coluna 'persistent'
secrets = con.execute("SELECT name, type, persistent FROM duckdb_secrets() WHERE name IN ('temp_secret', 'my_persistent_secret')").df()
print("Estado dos Secrets:")
print(secrets)

# Simular reinício fechando a conexão
con.close()
print("\nConexão fechada.")

# Reabrir conexão
con = duckdb.connect()
print("Conexão reaberta.")
secrets_after = con.execute("SELECT name, persistent FROM duckdb_secrets() WHERE name IN ('temp_secret', 'my_persistent_secret')").df()
print("\nSecrets após reinício:")
print(secrets_after)

# Limpeza: Remover secret persistente para não poluir o ambiente do usuário
con.execute("DROP PERSISTENT SECRET IF EXISTS my_persistent_secret")
print("\nSecret persistente removido após o teste.")

Estado dos Secrets:
                   name type  persistent
0           temp_secret   s3       False
1  my_persistent_secret   s3        True

Conexão fechada.
Conexão reaberta.

Secrets após reinício:
                   name  persistent
0  my_persistent_secret        True

Secret persistente removido após o teste.


## 5. Exercícios Práticos

Tente resolver os desafios abaixo para praticar o uso de secrets.


In [None]:
# Exercício 1: Crie 3 secrets com nomes diferentes ('s1', 's2', 's3') e depois delete o 's2'.
# Dica: Use CREATE SECRET ... e DROP SECRET ...

# Seu código aqui...


In [None]:
# Exercício 2: Use which_secret() para verificar qual secret seria usado para 'https://api.example.com/data'
# Dica: Crie um secret do tipo HTTP com autenticação Bearer primeiro.

# Seu código aqui...
