Envshed vs AWS Secrets Manager
AWS Secrets Manager es el default cuando ya estás en AWS. También cuesta US$ 0,40 por secreto al mes más coste por llamadas a la API, con control de acceso sólo por IAM y CloudTrail en lugar de una UI de equipo. Envshed es el trade opuesto — US$ 5 por usuario fijo, una CLI nativa de monorepo y una UI real para las personas de tu equipo.
ASM es legítimo. Vive dentro de tu cuenta de AWS, cifra con KMS, gestiona acceso vía IAM y rota credenciales de forma nativa para RDS, Redshift y DocumentDB. Si tu stack es AWS de punta a punta y tu modelo de seguridad es IAM, ASM es un default razonable — un proveedor menos en la factura, un SSO menos que cablear.
Los trade-offs aparecen en equipos pequeños. El precio es por secreto (US$ 0,40 al mes cada uno) más US$ 0,05 por cada 10.000 llamadas a la API — unos cientos de secretos y una CI habladora y ya superas los US$ 5 por usuario fijo. No hay una UI de equipo digna: el acceso se define con políticas IAM, la auditoría es líneas de CloudTrail y colaborar con un compañero que no hace infra implica explicarle ARNs. Sin config nativa de monorepo, sin entornos de primera clase, sin envshed run local. Envshed es el trade opuesto: pensado de punta a punta para equipos dev que quieren variables de entorno cifradas, una CLI que entiende un monorepo y una UI que una persona puede leer.
Comparación de funciones
| Envshed | AWS Secrets Manager | |
|---|---|---|
Modelo de precio | US$ 5/usuario/mes fijo (Team) | US$ 0,40 por secreto/mes + US$ 0,05 por cada 10.000 llamadas a la API |
Plan gratuito | 2 personas · 3 proyectos · secretos ilimitados | 30 días de prueba por secreto · sin plan gratuito permanente |
CLI | envshed (pull, push, run, export) | aws secretsmanager (a través de la AWS CLI) |
Config nativa de monorepo | Sí — .envshed.json detecta los workspaces | Ninguna — los secretos son recursos planos, sin noción de proyecto |
Modelo multi-entorno | Entornos dev/staging/prod de primera clase por proyecto | Por convención — prefijos de nombre o tags |
UI de equipo para perfiles no-infra | Sí — dashboard con roles de org y de proyecto | Consola AWS — asume un operador que sabe IAM |
Control de acceso | Roles de org (owner/admin/member) · roles de proyecto (admin/editor/viewer) | Políticas IAM y políticas de recurso |
Registro de auditoría | Auditoría dentro del producto (plan Team) | CloudTrail — servicio aparte, UI aparte |
Cifrado en reposo | AES-256-GCM (IV por registro) | AWS KMS (clave administrada por AWS o CMK propia) |
Rotación de secretos | En el roadmap | Sí — nativa para RDS, Redshift, DocumentDB; Lambda para el resto |
GitHub Actions | Step de envshed de primera clase | Vía configure-aws-credentials + CLI o aws-actions/aws-secretsmanager-get-secrets |
Ideal para | Equipos dev de 2 a 50 personas que quieren UX de variables de entorno | Equipos muy AWS ya estandarizados en IAM y KMS |
Precios y funciones de AWS Secrets Manager verificados en aws.amazon.com/secrets-manager/pricing el 18 de abril de 2026. Las cifras cambian — verifica en la fuente antes de citar.
Cuándo AWS Secrets Manager es la opción correcta
- Tu stack es AWS end-to-end y IAM ya es tu modelo de acceso.
- Necesitas hoy rotación nativa de credenciales para RDS, Redshift o DocumentDB en producción.
- Todo lo que lee secretos es un principal IAM — Lambda, ECS, EC2, EKS — y no quieres un proveedor extra en el camino.
- Cumplimiento o compras hacen que sumar un SaaS fuera de AWS sea todo un proyecto.
Cuándo Envshed es la opción correcta
- La factura por secreto ya molesta y una CI habladora la está empeorando — US$ 5 por usuario fijo es predecible.
- Tu código vive en un monorepo y quieres un .envshed.json detectando workspaces, no convenciones manuales de ARNs.
- Compañeros no-infra necesitan leer y editar secretos sin entrar a la consola de AWS ni aprender IAM.
- Quieres auditoría y tooling de entornos dentro del producto, no repartidos entre CloudTrail y convenciones de nombres.
- envshed run en local y envshed pull en CI gana a envolver aws secretsmanager get-secret-value en un script de shell.
Prueba Envshed gratis 14 días
El plan gratuito cubre 2 personas y 3 proyectos. Sin tarjeta de crédito.
Empezar gratis