Pular para o conteúdo

Visão Geral do Secrets Manager

O recurso Secrets Manager permite que sua organização conecte um cofre de segredos externo — AWS Secrets Manager, Google Cloud Secret Manager ou Azure Key Vault — e referencie esses segredos diretamente a partir de variáveis de ambiente nas suas automações e crews. Em vez de colar valores em texto puro na plataforma, você armazena um conjunto de credenciais por provedor e se refere aos segredos pelo nome.

Isso oferece a você:

  • Armazenamento centralizado — gerencie segredos no seu provedor em vez de editar a configuração da CrewAI Platform. A CrewAI Platform não mantém nenhuma cópia em texto puro do valor do segredo.
  • Exposição reduzida — valores sensíveis nunca ficam em texto puro na sua configuração da CrewAI Platform.
  • Auditabilidade cloud-native — o log de auditoria do seu provedor registra cada leitura de segredo.

Dois Caminhos: Credenciais Estáticas vs Workload Identity

Seção intitulada “Dois Caminhos: Credenciais Estáticas vs Workload Identity”

Existem duas formas de conectar a CrewAI Platform ao cofre de segredos da sua nuvem. Eles diferem significativamente no comportamento de rotação, então escolha com base em quão frequentemente seus segredos são rotacionados e quão rigorosa é a sua postura de segurança.

AspectoCredenciais EstáticasWorkload Identity (Federação OIDC)
AutenticaçãoChaves de acesso de longa duração / JSON de service account armazenados na CrewAI PlatformTokens de curta duração emitidos por processo worker; nenhuma credencial estática armazenada em lugar algum
Propagação de rotaçãoResolvida no momento do deploy e incorporada à imagem do contêiner do deployment — valores rotacionados exigem um novo deployResolvida no momento da execução da automação — valores rotacionados se propagam para o próximo kickoff sem novo deploy
Esforço de configuraçãoMenor — cole chaves / faça upload do JSON da service accountMaior — registre a CrewAI Platform como um provedor OIDC na sua nuvem, configure políticas de confiança
Melhor paraComeçar rápido, segredos rotacionados raramente, deployments single-accountProdução, segredos rotacionados frequentemente, ambientes guiados por compliance que proíbem credenciais de longa duração
ProvedorCredenciais EstáticasWorkload Identity
AWS Secrets ManagerAWS — chaves estáticas / AssumeRoleAWS — Workload Identity (OIDC)
Google Cloud Secret ManagerGCP — chave de service accountGCP — Workload Identity Federation
Azure Key VaultAzure — client secretAzure — Workload Identity Federation

Configurar o Secrets Manager é um fluxo de três passos que envolve tanto o seu provedor de nuvem quanto a CrewAI Platform:

  1. Um admin configura uma credencial de provedor. Este é o trabalho do lado da nuvem — e o trabalho difere dependendo de qual caminho (credenciais estáticas ou Workload Identity) você escolher. Os guias específicos por provedor cobrem isso de ponta a ponta.
  2. Um admin (ou um membro autorizado) referencia um segredo em uma variável de ambiente. Na página de Variáveis de Ambiente, o usuário escolhe uma credencial de provedor e seleciona o nome do segredo. Veja Usando o Secrets Manager.
  3. A automação recebe o valor resolvido em runtime. Quando um crew ou automação executa, a CrewAI Platform busca o segredo do seu provedor e o injeta como o valor da variável de ambiente. Com Workload Identity, essa busca acontece a cada kickoff (consciente de rotação). Com credenciais estáticas, essa busca acontece no momento do deploy e o valor é incorporado à imagem do deployment.

Duas features da CrewAI Platform controlam o acesso ao Secrets Manager:

  • secret_providers — controla quem pode visualizar ou gerenciar credenciais de provedor.
  • environment_variables — controla quem pode criar e editar variáveis de ambiente (incluindo aquelas que referenciam segredos).

Uma terceira feature controla a configuração do Workload Identity:

  • workload_identity_configs — controla quem pode visualizar ou gerenciar configurações de Workload Identity. Necessário apenas se você estiver usando o caminho Workload Identity.

Owners sempre têm acesso total. Members não recebem acesso a secret_providers ou workload_identity_configs por padrão e precisam receber permissão por meio de um papel customizado. Veja Permissões (RBAC) para a matriz completa e instruções passo a passo.

Escolha seu caminho: