Multi-cloud

O CipherVault funciona como plano de controle único para secrets que vivem em múltiplas clouds. Você importa, sincroniza ou migra credenciais entre AWS Secrets Manager, GCP Secret Manager, Azure Key Vault, OCI, IBM Cloud e Huawei Cloud — sem reescrever aplicações.

Provedores suportados

Provedor	Serviço	Sync bidirecional	Migração
AWS	Secrets Manager, Parameter Store	✅	✅
GCP	Secret Manager	✅	✅
Azure	Key Vault	✅	✅
Oracle Cloud	Vault	✅	✅
IBM Cloud	Secrets Manager	✅	✅
Huawei Cloud	Cloud Secret Management Service	✅	✅

Modos de operação

1. Import único

Trazer secrets existentes para o CipherVault uma única vez.

ciphervault-cli import aws \
  --region sa-east-1 \
  --filter 'tag:Environment=production' \
  --to-vault producao \
  --path-prefix 'aws/imported/' \
  --dry-run

Use --dry-run para revisar antes de executar.

2. Sync contínuo (CipherVault → Cloud)

CipherVault é a fonte da verdade. Cada mudança é replicada para o cloud secret manager dentro de segundos. Útil para apps legados que só sabem ler de AWS Secrets Manager.

{
  "name": "sync-aws-prod",
  "direction": "ciphervault_to_cloud",
  "source": {
    "vault": "producao",
    "prefix": "api/"
  },
  "destination": {
    "provider": "aws",
    "region": "sa-east-1",
    "name_template": "ciphervault/{{.Path}}",
    "kms_key_id": "arn:aws:kms:sa-east-1:123:key/abc"
  },
  "sync_interval_seconds": 30
}

3. Sync reverso (Cloud → CipherVault)

Migração gradual: cloud continua sendo a fonte, CipherVault espelha para prover unificação de auditoria, RBAC e Risk Scoring sem mexer nos apps.

4. Failover multi-cloud

Em planos Enterprise, replicação ativa-ativa entre regiões/clouds com RPO < 15s e RTO < 1min via DNS-aware routing dos SDKs.

Permissões necessárias

AWS

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue",
        "secretsmanager:CreateSecret",
        "secretsmanager:UpdateSecret",
        "secretsmanager:DeleteSecret",
        "secretsmanager:ListSecrets",
        "secretsmanager:TagResource",
        "kms:Decrypt",
        "kms:GenerateDataKey"
      ],
      "Resource": "*"
    }
  ]
}

Recomendado via IAM Role assumida pelo CipherVault (sem access keys estáticas).

GCP

Role: roles/secretmanager.admin no projeto destino. Service account delegation via Workload Identity Federation.

Azure

Key Vault Secrets Officer na key vault destino, autenticado via Managed Identity ou OIDC Federation com Entra ID.

Tags e metadados

Tags do CipherVault são propagadas para os clouds, respeitando limites:

Cloud	Limite tags	Limite chave/valor
AWS	50 tags	128/256 chars
GCP	64 labels	63/63 chars
Azure	50 tags	512/256 chars

Boas práticas

Comece com um sync direção única (CV→Cloud ou Cloud→CV) para evitar conflitos.
Use IAM/Workload Identity Federation, nunca access keys estáticas.
Monitore drift. Alerta dispara se valor diverge entre cloud e CipherVault > 60s.
Tag por ambiente. Facilita filtros e billing.
Migrar com staging primeiro. PoC de 2 semanas antes de produção.

Provedores suportados​

Modos de operação​

1. Import único​

2. Sync contínuo (CipherVault → Cloud)​

3. Sync reverso (Cloud → CipherVault)​

4. Failover multi-cloud​

Permissões necessárias​

AWS​

GCP​

Azure​

Tags e metadados​

Boas práticas​