SkillProgramaçãoExecução

Gestão de Secrets

Implementa gestão segura de secrets para CI/CD e runtime: Vault, AWS Secrets Manager, OIDC e rotação. Use ao projetar ou auditar como os secrets fluem pelo pipeline e pela execução de um serviço.

Ações
PerfilDev
ProfundidadeAlta
IdiomaInglês (skill original)
Objetivo

Em uma frase.

Projetar ou auditar como os secrets fluem por CI/CD e runtime, cobrindo a escolha do armazenamento, rotação, acesso baseado em OIDC e detecção de vazamentos, eliminando chaves de longa duração e contas compartilhadas.

Aplicação

Quando
faz sentido.

Usar
  • Projetar como os secrets fluem por CI/CD e runtime para um novo serviço
  • Migrar de arquivos .env ou chaves de longa duração para um store gerenciado + OIDC
  • Auditar o tratamento atual de secrets em busca de vazamentos, contas compartilhadas e lacunas de rotação
  • Adicionar scanning de pre-commit / CI em um repositório que ainda não tem
Não usar
Prompt

Instruções
para a IA.

A skill parte de pré-requisitos claros: inventário dos secrets existentes e de onde eles vivem hoje, decisão do store (Vault, nativo de cloud ou Doppler), suporte a OIDC no provedor de CI e na cloud, e um time dono do store após o go-live.

### Escolha de store e padrões

Apresenta as opções de armazenamento (HashiCorp Vault, AWS Secrets Manager, GCP Secret Manager, Azure Key Vault, Doppler) e os padrões recomendados: preferir OIDC a chaves de longa duração (o workflow de CI troca um token OIDC por credenciais de curta duração), usar secrets dinâmicos emitidos por sessão e revogados ao final, rotação automática transparente para a aplicação, e mascaramento com auditoria a cada fetch.

### Anti-padrões e detecção

A skill lista anti-padrões — secrets em arquivos .env commitados, chaves longas em GH Actions quando OIDC funcionaria, contas de serviço compartilhadas — e o setup de detecção: detect-secrets e gitleaks no pre-commit, trufflehog no CI, e resposta imediata na cloud (rotacionar o secret exposto e auditar o uso downstream).

Os entregáveis incluem o diagrama da arquitetura de secrets, a política de rotação por classe de secret com cadência e ownership, a configuração de OIDC por provedor e o setup de scanning com plano de resposta documentado.
Constelação

Onde
ela vive.

Execução

Como usar
com IA.

  1. 01Copie a skill (botão "Copiar skill para IA", no topo): o texto copiado já é a skill completa, não um resumo.
  2. 02Abra o Claude ou Claude Code e cole — a IA recebe todas as instruções e fica pronta para a tarefa.
  3. 03Prefere usar como arquivo reutilizável? Baixe o .zip e coloque o SKILL.md em .claude/skills/ (Claude Code) ou anexe o arquivo no Claude (claude.ai).