Criando seu primeiro vault

Um vault é o container de mais alto nível para seus secrets no CipherVault. Ele provê isolamento criptográfico, políticas de acesso independentes e auditoria granular. A recomendação é criar um vault por ambiente (produção, staging, desenvolvimento) ou por unidade de negócio.

Pré-requisitos

Conta CipherVault com perfil Admin ou Vault Manager.
MFA habilitado (obrigatório para criação de vaults em produção).
Plano Starter, Professional ou Enterprise ativo.

Pela interface (UI)

Acesse https://app.ciphervault.com.br e faça login.
No menu lateral, clique em Cofres → Novo cofre.
Preencha os campos:
- Nome — minúsculo, sem espaços (ex.: producao, staging-billing).
- Descrição — propósito do cofre.
- Ambiente — produção, homologação, desenvolvimento.
- Tags — opcional, para organização e billing por centro de custo.
Em Criptografia:
- Algoritmo: AES-256-GCM (padrão recomendado).
- Chave: gerada pelo CipherVault ou BYOK (Bring Your Own Key) via AWS KMS, GCP KMS ou Azure Key Vault.
- Rotação da chave mestra: 90 dias (padrão).
Em Acesso inicial, selecione os usuários ou grupos que terão permissão de leitura/escrita.
Clique em Criar cofre.

O vault é criado e fica disponível imediatamente. A chave mestra é gerada via HSM e nunca sai do CipherVault em texto plano.

Via API

curl -X POST https://api.ciphervault.com.br/v1/vaults \
  -H "Authorization: Bearer $CIPHERVAULT_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "producao",
    "description": "Cofre de produção - clientes BR",
    "environment": "production",
    "tags": ["billing", "prod"],
    "encryption": {
      "algorithm": "AES-256-GCM",
      "key_source": "ciphervault",
      "rotation_days": 90
    }
  }'

Resposta:

{
  "id": "vault_01HXYZABC...",
  "name": "producao",
  "created_at": "2026-05-04T13:00:00Z",
  "encryption": {
    "algorithm": "AES-256-GCM",
    "key_id": "key_01HXYZABC...",
    "rotation_days": 90,
    "next_rotation": "2026-08-02T13:00:00Z"
  }
}

Via Terraform

terraform {
  required_providers {
    ciphervault = {
      source  = "ciphervault/ciphervault"
      version = "~> 1.0"
    }
  }
}

provider "ciphervault" {
  endpoint = "https://api.ciphervault.com.br"
  # token via env CIPHERVAULT_TOKEN
}

resource "ciphervault_vault" "producao" {
  name        = "producao"
  description = "Cofre de produção"
  environment = "production"
  tags        = ["billing", "prod"]

  encryption {
    algorithm     = "AES-256-GCM"
    rotation_days = 90
  }
}

Boas práticas

Um vault por ambiente. Não compartilhe vaults entre produção e staging.
Nomes descritivos e estáveis. O nome compõe paths e policies; renomear depois exige migração.
MFA obrigatório. Habilite enforcement de MFA no vault (Configurações → Segurança).
BYOK em produção. Para compliance rigoroso (financeiro, saúde), use chave gerenciada no seu KMS.
Auditoria desde o dia 1. Habilite export SIEM antes de inserir o primeiro secret.
Backup imutável. O CipherVault faz backup automático criptografado a cada 6 horas — verifique a retenção do seu plano.

Próximo passo

Criar e organizar secrets dentro do vault →

Pré-requisitos​

Pela interface (UI)​

Via API​

Via Terraform​

Boas práticas​

Próximo passo​