Пассворк как менеджер секретов

Пассворк — это не только корпоративный менеджер паролей, но и полноценный менеджер секретов для инфраструктуры и CI/CD. В этом разделе показано, как хранить, извлекать и ротировать секреты с помощью passwork-cli, HTTP API и Python SDK.

Что такое секреты

Секреты — любые чувствительные данные, которые нельзя хранить в открытом виде:

Категория	Примеры
Пароли	Пароли к базам данных, системным учётным записям, локальные администраторские пароли
API-ключи и токены	Токены GitHub/GitLab, ключи облачных провайдеров, OAuth-токены, personal access tokens
Криптографические материалы	Приватные ключи, сертификаты, SSH-ключи
Конфигурационные секреты	Строки подключения (DSN), логины/пароли к брокерам сообщений, токены интеграций

Архитектура

Zero-Knowledge и клиентское шифрование

Пассворк построен на принципе Zero-Knowledge: сервер никогда не видит расшифрованные данные. Шифрование и расшифровка происходят исключительно на стороне клиента — в браузере, passwork-cli или SDK. В базе данных Пассворка хранится только шифротекст.

Это означает, что даже при компрометации сервера злоумышленник получит только зашифрованные данные без возможности их прочитать.

подсказка

Zero-Knowledge режим может быть выключен в коробочной версии

API-first подход

Пассворк спроектирован по принципу API-first: веб-интерфейс и все официальные клиенты работают через тот же HTTP API, который доступен внешним потребителям. Это означает:

• Полный паритет возможностей — всё, что можно сделать в UI, можно сделать через API: создание сейфов и папок, управление записями, поиск, права доступа, история изменений.
• Стабильный контракт — API версионирован и документирован; изменения в интерфейсе не ломают интеграции.
• Программный доступ из любой среды — скрипты, CI/CD-пайплайны, микросервисы и внутренние инструменты могут напрямую обращаться к Пассворку.

Типичные сценарии использования API:

Сценарий	Что делает API
CI/CD-пайплайн	Получает секреты перед деплоем, передаёт в переменные окружения
Ротация паролей	Скрипт генерирует новый пароль, обновляет целевую систему и записывает в Пассворк
Аудит и отчёты	Сервис собирает данные о доступах и изменениях для compliance-отчётов
Миграция	Массовый импорт/экспорт записей между окружениями

Подробная документация по API: HTTP API Пассворка.

Готовые инструменты автоматизации

• passwork-cli — консольная утилита для DevOps и CI/CD: получение секретов, подстановка в переменные окружения, ротация.
• Python SDK — библиотека для сложной автоматизации: миграции, проверки целостности, массовые операции.

Связанные разделы документации

• HTTP API Пассворка: Общее описание
• CLI-утилита (passwork-cli): CLI-утилита
• Docker-образ с CLI: Docker-контейнер для CLI
• Python SDK: Python-коннектор
• Готовые примеры интеграций: Примеры интеграций

Версия для LLM