Resumo
Relato prático da Memory sobre a migração de tokens de automação para Azure Key Vault: passos, ganhos operacionais e pontos de atenção; uma tarde que separou risco de exposição de credenciais de um modelo seguro.
A senha que publicava o nosso blog estava num campo de texto
Falar sobre credenciais expostas em automação fica mais direto quando o exemplo somos nós mesmos. Aqui na Memory, operamos um hub de automação responsável pela publicação do blog e das redes sociais: agentes de IA classificam novidades, redatores especializados produzem o conteúdo e fluxos inteligentes publicam tudo, do post no blog ao callback que confirma que a página está no ar.
Essa esteira depende de credenciais sensíveis: o token que autoriza publicações no repositório do site e o token que valida a comunicação entre os sistemas. Por um período, esses valores viveram em variáveis de ambiente em texto puro. O padrão de quem está construindo: funciona, resolve o problema imediato, e ninguém olha de volta para revisar.
Era exatamente o cenário que descrevemos para nossos clientes. Quem tivesse acesso ao ambiente podia ler os tokens. O histórico de execução dos fluxos guardava os valores a cada rodada. E uma eventual rotação de credenciais exigiria caçar onde mais o valor havia sido colado.
A decisão de migrar
A decisão não veio de um incidente. Veio de uma pergunta que qualquer gestor de TI deveria se fazer: se um integrante da equipe saísse hoje, quais credenciais ele levaria junto? A resposta, naquele momento, incluía os tokens da esteira de publicação.
Migramos os dois segredos para o Azure Key Vault. O processo levou uma tarde de trabalho. O Key Vault é o serviço de cofre de segredos nativo do ecossistema Microsoft: armazena credenciais, certificados e chaves com controle de acesso granular, auditoria de leitura e integração direta com Power Automate, Logic Apps, Azure Functions e outros componentes da plataforma.
O que mudou na operação, passo a passo
Nenhum fluxo contém mais credencial em texto. Os tokens foram retirados das variáveis de ambiente e movidos para o cofre. Os fluxos pedem o valor ao cofre no momento da execução, usam e não retêm.
O histórico de execução exibe os valores mascarados. Antes, qualquer pessoa com acesso ao histórico via o token em claro. Agora o campo aparece com máscara: o log existe, a rastreabilidade existe, o dado sensível não fica exposto.
O acesso é feito pela identidade da plataforma, não por usuário nominal. Qualquer membro da equipe pode operar a esteira sem ter contato com as chaves. A credencial não circula entre pessoas.
A renovação dos tokens tem data marcada e acontece em um único lugar. Atualiza no cofre e todos os processos passam a usar o valor novo, sem caçar referências distribuídas e sem risco de inconsistência.
O que esse case ensina sobre automações em geral
O risco de credenciais expostas não é exclusivo de quem está começando. Em consultoria, encontramos variações desse cenário com frequência em empresas com TI estruturada, porque o foco, na hora de construir, é colocar o processo para rodar. A automação funciona, o processo não para, e a credencial exposta não aparece em relatório nenhum. Até aparecer.
A solução existe, é nativa no ecossistema que a maioria das empresas já usa e o custo de implementação é baixo. O custo de não agir só aparece quando já é tarde. No nosso caso: uma tarde de trabalho separou o cenário de risco do modelo seguro.
Pontos de atenção antes de migrar
O Azure Key Vault exige que os fluxos e aplicações tenham permissão explícita para ler os segredos, o que demanda uma revisão de identidades e permissões no ambiente Azure antes da migração. Em ambientes com muitas automações, é comum descobrir conexões feitas com usuários nominais em vez de identidades de serviço, ponto que também precisa ser corrigido no processo.
Não se trata de substituir uma ferramenta por outra do dia para a noite. O ponto de partida é entender onde as credenciais moram hoje.
Como a Memory pode apoiar
A Memory realiza o levantamento completo: mapeia onde as credenciais das automações e integrações da sua empresa estão armazenadas, identifica o que está exposto e desenha a migração para o modelo de cofre dentro do ecossistema Microsoft que você já tem.
A pergunta de partida é simples: quantas senhas da sua operação estão em texto puro agora, e quem consegue lê-las? Se a resposta for "não sei", esse é o ponto de partida. Fale com um especialista da Memory IT.
Continue lendo
Agent 365: como dar identidade e acesso gerenciado aos agentes de IA da sua empresa
Como identificar e controlar agentes de IA não gerenciados usando Agent 365 e Microsoft Entra: organização de identidades, políticas de acesso, auditoria e passos práticos para reduzir riscos operacionais, jurídicos e financeiros.
Fernando Rabello · 16 de jun. de 2026 O convidado invisível: o bot de IA que está ouvindo as reuniões da sua empresa
Um bot de IA presente nas reuniões do Teams pode transcrever e armazenar conteúdo fora do controle da empresa, expondo dados sensíveis e criando riscos legais e de compliance; é necessário governança clara.
Fernando Rabello · 15 de jun. de 2026 Gestão segura de credenciais em automações com Azure Key Vault
Mapeie e elimine senhas em texto puro nas suas automações. Migre segredos para Azure Key Vault para centralizar armazenamento, controlar acessos, auditar usos e rotacionar tokens, reduzindo risco operacional com baixo esforço.
Fernando Rabello · 12 de jun. de 2026