نظرة عامة على مدير الأسرار
نظرة عامة
Section titled “نظرة عامة”تُتيح ميزة مدير الأسرار لمؤسستك ربط مخزن أسرار خارجي — AWS Secrets Manager أو Google Cloud Secret Manager أو Azure Key Vault — والإشارة إلى تلك الأسرار مباشرةً من متغيرات البيئة على الأتمتات والطواقم لديك. بدلاً من لصق قيم نصية صريحة في المنصة، فإنك تخزّن مجموعة واحدة من بيانات الاعتماد لكل مزود وتُشير إلى الأسرار بالاسم.
يمنحك هذا:
- تخزين مركزي — إدارة الأسرار في مزوّدك بدلاً من تعديل إعدادات CrewAI Platform. لا تحتفظ CrewAI Platform بأي نسخة نصية صريحة من قيمة السر.
- تقليل التعرّض — لا تظهر القيم الحساسة أبداً كنص صريح في إعدادات CrewAI Platform.
- قابلية تدقيق سحابية المنشأ — يسجّل سجل التدقيق الخاص بمزوّدك كل قراءة لسر.
مساران: بيانات اعتماد ثابتة مقابل Workload Identity
Section titled “مساران: بيانات اعتماد ثابتة مقابل Workload Identity”هناك طريقتان لربط CrewAI Platform بمخزن أسرار السحابة لديك. يختلفان اختلافاً كبيراً في سلوك التدوير، لذا اختر بناءً على مدى تكرار تدوير أسرارك ومدى صرامة وضعك الأمني.
| الجانب | بيانات الاعتماد الثابتة | Workload Identity (اتحاد OIDC) |
|---|---|---|
| المصادقة | مفاتيح وصول / ملف JSON لحساب خدمة طويلة الأمد مخزّنة في CrewAI Platform | رموز قصيرة الأمد تُصدر لكل عملية عامل؛ لا تُخزَّن بيانات اعتماد ثابتة في أي مكان |
| انتشار التدوير | تُحَلّ وقت النشر وتُدمج في صورة حاوية النشر — تتطلب القيم المُدوَّرة إعادة نشر | تُحَلّ وقت تنفيذ الأتمتة — تنتشر القيم المُدوَّرة إلى الإطلاق التالي بدون إعادة نشر |
| جهد الإعداد | أقل — لصق المفاتيح / رفع ملف JSON لحساب الخدمة | أعلى — تسجيل CrewAI Platform كمزود OIDC في سحابتك وتكوين سياسات الثقة |
| الأنسب لـ | البداية، الأسرار قليلة التدوير، عمليات نشر بحساب واحد | الإنتاج، الأسرار كثيرة التدوير، البيئات التي تحكمها الامتثال وتمنع بيانات الاعتماد طويلة الأمد |
اختر دليل الإعداد الخاص بك
Section titled “اختر دليل الإعداد الخاص بك”| المزود | بيانات الاعتماد الثابتة | Workload Identity |
|---|---|---|
| AWS Secrets Manager | AWS — المفاتيح الثابتة / AssumeRole | AWS — Workload Identity (OIDC) |
| Google Cloud Secret Manager | GCP — مفتاح حساب الخدمة | GCP — Workload Identity Federation |
| Azure Key Vault | Azure — السر المُعرَّف للعميل | Azure — Workload Identity Federation |
كيف تتلاءم الأجزاء معاً
Section titled “كيف تتلاءم الأجزاء معاً”إعداد مدير الأسرار هو تدفق من ثلاث خطوات يشمل كلاً من مزود السحابة و CrewAI Platform:
- يُكوِّن المسؤول بيانات اعتماد المزود. هذا هو العمل من جانب السحابة — ويختلف العمل اعتماداً على المسار (بيانات الاعتماد الثابتة أو Workload Identity) الذي تختاره. تغطي أدلة المزودين هذا من البداية إلى النهاية.
- يُشير المسؤول (أو عضو مصرَّح له) إلى سر في متغير بيئة. من صفحة متغيرات البيئة، يختار المستخدم بيانات اعتماد المزود ويُحدّد اسم السر. راجع استخدام مدير الأسرار.
- تتلقى الأتمتة القيمة المحلولة وقت التشغيل. عندما يعمل طاقم أو أتمتة، تجلب CrewAI Platform السر من مزوّدك وتحقنه كقيمة لمتغير البيئة. مع Workload Identity، يحدث هذا الجلب في كل إطلاق (مراعٍ للتدوير). مع بيانات الاعتماد الثابتة، يحدث الجلب وقت النشر وتُدمج القيمة في صورة النشر.
الرؤية والنطاق
Section titled “الرؤية والنطاق”الأذونات
Section titled “الأذونات”تتحكم ميزتان في CrewAI Platform بالوصول إلى مدير الأسرار:
secret_providers— تتحكم بمن يستطيع عرض أو إدارة بيانات اعتماد المزودين.environment_variables— تتحكم بمن يستطيع إنشاء وتحرير متغيرات البيئة (بما فيها تلك التي تُشير إلى أسرار).
تتحكم ميزة ثالثة بإعداد Workload Identity:
workload_identity_configs— تتحكم بمن يستطيع عرض أو إدارة تكوينات Workload Identity. مطلوبة فقط إذا كنت تستخدم مسار Workload Identity.
يتمتع المالكون دائماً بالوصول الكامل. لا يحصل الأعضاء على وصول إلى secret_providers أو workload_identity_configs افتراضياً ويجب منحهم الإذن عبر دور مخصص. راجع الأذونات (RBAC) للحصول على المصفوفة الكاملة والتعليمات خطوة بخطوة.
الخطوات التالية
Section titled “الخطوات التالية”اختر مسارك:
- بيانات الاعتماد الثابتة (أبسط، تتطلب إعادة نشر عند التدوير):
- Workload Identity (مراعٍ للتدوير، بدون إعادة نشر):
- ثم: استخدام الأسرار في متغيرات البيئة وإدارة الأذونات