Envshed vs AWS Secrets Manager
O AWS Secrets Manager é o default quando você já está na AWS. Também custa US$ 0,40 por segredo por mês mais custo de chamadas de API, com controle de acesso só por IAM e CloudTrail no lugar de uma UI de time. O Envshed é o trade oposto — US$ 5 por usuário fixo, uma CLI nativa de monorepo e uma UI real para as pessoas do time.
O ASM é legítimo. Ele fica dentro da sua conta AWS, criptografa com KMS, gerencia acesso via IAM e rotaciona credenciais nativamente para RDS, Redshift e DocumentDB. Se seu stack é AWS de ponta a ponta e seu modelo de segurança é IAM, o ASM é um default razoável — um fornecedor a menos na fatura, um SSO a menos para configurar.
Os trade-offs aparecem em times pequenos. O preço é por segredo (US$ 0,40 por mês cada) mais US$ 0,05 por cada 10.000 chamadas de API — algumas centenas de segredos e uma CI faladora e você já passou de US$ 5 por usuário fixo. Não existe uma UI de time decente: acesso se define com políticas IAM, auditoria é linha de CloudTrail e colaborar com alguém que não é de infra significa explicar ARNs. Sem config nativa de monorepo, sem ambientes de primeira classe, sem envshed run local. O Envshed é o contrário: pensado de ponta a ponta para times de dev que querem variáveis de ambiente criptografadas, uma CLI que entende um monorepo e uma UI que uma pessoa consegue ler.
Comparação de recursos
| Envshed | AWS Secrets Manager | |
|---|---|---|
Modelo de preço | US$ 5/usuário/mês fixo (Team) | US$ 0,40 por segredo/mês + US$ 0,05 por cada 10.000 chamadas de API |
Plano gratuito | 2 pessoas · 3 projetos · segredos ilimitados | 30 dias de trial por segredo · sem plano gratuito permanente |
CLI | envshed (pull, push, run, export) | aws secretsmanager (via AWS CLI) |
Config nativa de monorepo | Sim — .envshed.json detecta os workspaces | Nenhuma — segredos são recursos planos, sem noção de projeto |
Modelo multi-ambiente | Ambientes dev/staging/prod de primeira classe por projeto | Por convenção — prefixos de nome ou tags |
UI de time para quem não é de infra | Sim — dashboard com roles de org e projeto | Console AWS — assume um operador que manja de IAM |
Controle de acesso | Roles de org (owner/admin/member) · roles de projeto (admin/editor/viewer) | Políticas IAM e políticas de recurso |
Registro de auditoria | Auditoria dentro do produto (plano Team) | CloudTrail — serviço à parte, UI à parte |
Criptografia em repouso | AES-256-GCM (IV por registro) | AWS KMS (chave gerenciada pela AWS ou CMK própria) |
Rotação de segredos | No roadmap | Sim — nativo para RDS, Redshift, DocumentDB; Lambda para o resto |
GitHub Actions | Step do envshed de primeira classe | Via configure-aws-credentials + CLI ou aws-actions/aws-secretsmanager-get-secrets |
Melhor para | Times de dev de 2 a 50 pessoas que querem UX de variáveis de ambiente | Times bem AWS já padronizados em IAM e KMS |
Preço e recursos do AWS Secrets Manager verificados em aws.amazon.com/secrets-manager/pricing em 18 de abril de 2026. Números mudam — confira na fonte antes de citar.
Quando AWS Secrets Manager é a escolha certa
- Seu stack é AWS de ponta a ponta e IAM já é seu modelo de acesso.
- Você precisa hoje de rotação nativa de credenciais de RDS, Redshift ou DocumentDB em produção.
- Tudo que lê segredos é um principal IAM — Lambda, ECS, EC2, EKS — e você não quer mais um fornecedor no caminho.
- Compliance ou compras tornam a adição de um SaaS fora da AWS um projeto em si.
Quando o Envshed é a escolha certa
- A conta por segredo já está incomodando e uma CI faladora está piorando — US$ 5 por usuário fixo é previsível.
- Seu código vive num monorepo e você quer um .envshed.json detectando workspaces, não convenção de ARN feita à mão.
- Colegas que não são de infra precisam ler e editar segredos sem entrar no console AWS nem aprender IAM.
- Você quer auditoria e tooling de ambientes dentro do produto, não espalhados entre CloudTrail e convenções de nome.
- envshed run no local e envshed pull na CI ganham de envelopar aws secretsmanager get-secret-value num script shell.
Teste o Envshed grátis por 14 dias
O plano gratuito atende até 2 pessoas e 3 projetos. Sem cartão de crédito.
Começar grátis