تخطَّ إلى المحتوى

نظرة عامة على مدير الأسرار

تُتيح ميزة مدير الأسرار لمؤسستك ربط مخزن أسرار خارجي — AWS Secrets Manager أو Google Cloud Secret Manager أو Azure Key Vault — والإشارة إلى تلك الأسرار مباشرةً من متغيرات البيئة على الأتمتات والطواقم لديك. بدلاً من لصق قيم نصية صريحة في المنصة، فإنك تخزّن مجموعة واحدة من بيانات الاعتماد لكل مزود وتُشير إلى الأسرار بالاسم.

يمنحك هذا:

  • تخزين مركزي — إدارة الأسرار في مزوّدك بدلاً من تعديل إعدادات CrewAI Platform. لا تحتفظ CrewAI Platform بأي نسخة نصية صريحة من قيمة السر.
  • تقليل التعرّض — لا تظهر القيم الحساسة أبداً كنص صريح في إعدادات CrewAI Platform.
  • قابلية تدقيق سحابية المنشأ — يسجّل سجل التدقيق الخاص بمزوّدك كل قراءة لسر.

مساران: بيانات اعتماد ثابتة مقابل Workload Identity

Section titled “مساران: بيانات اعتماد ثابتة مقابل Workload Identity”

هناك طريقتان لربط CrewAI Platform بمخزن أسرار السحابة لديك. يختلفان اختلافاً كبيراً في سلوك التدوير، لذا اختر بناءً على مدى تكرار تدوير أسرارك ومدى صرامة وضعك الأمني.

الجانببيانات الاعتماد الثابتةWorkload Identity (اتحاد OIDC)
المصادقةمفاتيح وصول / ملف JSON لحساب خدمة طويلة الأمد مخزّنة في CrewAI Platformرموز قصيرة الأمد تُصدر لكل عملية عامل؛ لا تُخزَّن بيانات اعتماد ثابتة في أي مكان
انتشار التدويرتُحَلّ وقت النشر وتُدمج في صورة حاوية النشر — تتطلب القيم المُدوَّرة إعادة نشرتُحَلّ وقت تنفيذ الأتمتة — تنتشر القيم المُدوَّرة إلى الإطلاق التالي بدون إعادة نشر
جهد الإعدادأقل — لصق المفاتيح / رفع ملف JSON لحساب الخدمةأعلى — تسجيل CrewAI Platform كمزود OIDC في سحابتك وتكوين سياسات الثقة
الأنسب لـالبداية، الأسرار قليلة التدوير، عمليات نشر بحساب واحدالإنتاج، الأسرار كثيرة التدوير، البيئات التي تحكمها الامتثال وتمنع بيانات الاعتماد طويلة الأمد

اختر دليل الإعداد الخاص بك

Section titled “اختر دليل الإعداد الخاص بك”
المزودبيانات الاعتماد الثابتةWorkload Identity
AWS Secrets ManagerAWS — المفاتيح الثابتة / AssumeRoleAWS — Workload Identity (OIDC)
Google Cloud Secret ManagerGCP — مفتاح حساب الخدمةGCP — Workload Identity Federation
Azure Key VaultAzure — السر المُعرَّف للعميلAzure — Workload Identity Federation

كيف تتلاءم الأجزاء معاً

Section titled “كيف تتلاءم الأجزاء معاً”

إعداد مدير الأسرار هو تدفق من ثلاث خطوات يشمل كلاً من مزود السحابة و CrewAI Platform:

  1. يُكوِّن المسؤول بيانات اعتماد المزود. هذا هو العمل من جانب السحابة — ويختلف العمل اعتماداً على المسار (بيانات الاعتماد الثابتة أو Workload Identity) الذي تختاره. تغطي أدلة المزودين هذا من البداية إلى النهاية.
  2. يُشير المسؤول (أو عضو مصرَّح له) إلى سر في متغير بيئة. من صفحة متغيرات البيئة، يختار المستخدم بيانات اعتماد المزود ويُحدّد اسم السر. راجع استخدام مدير الأسرار.
  3. تتلقى الأتمتة القيمة المحلولة وقت التشغيل. عندما يعمل طاقم أو أتمتة، تجلب CrewAI Platform السر من مزوّدك وتحقنه كقيمة لمتغير البيئة. مع Workload Identity، يحدث هذا الجلب في كل إطلاق (مراعٍ للتدوير). مع بيانات الاعتماد الثابتة، يحدث الجلب وقت النشر وتُدمج القيمة في صورة النشر.

تتحكم ميزتان في CrewAI Platform بالوصول إلى مدير الأسرار:

  • secret_providers — تتحكم بمن يستطيع عرض أو إدارة بيانات اعتماد المزودين.
  • environment_variables — تتحكم بمن يستطيع إنشاء وتحرير متغيرات البيئة (بما فيها تلك التي تُشير إلى أسرار).

تتحكم ميزة ثالثة بإعداد Workload Identity:

  • workload_identity_configs — تتحكم بمن يستطيع عرض أو إدارة تكوينات Workload Identity. مطلوبة فقط إذا كنت تستخدم مسار Workload Identity.

يتمتع المالكون دائماً بالوصول الكامل. لا يحصل الأعضاء على وصول إلى secret_providers أو workload_identity_configs افتراضياً ويجب منحهم الإذن عبر دور مخصص. راجع الأذونات (RBAC) للحصول على المصفوفة الكاملة والتعليمات خطوة بخطوة.

اختر مسارك: