Secrets Manager 概览
Secrets Manager 功能允许你的组织连接外部密钥存储 - AWS Secrets Manager、Google Cloud Secret Manager 或 Azure Key Vault - 并直接从你的自动化和 crews 的环境变量中引用这些密钥。你无需将明文值粘贴到平台中,而是为每个 provider 存储一组凭据,并通过名称引用密钥。
这会带来以下好处:
- 集中存储 - 在 provider 中管理密钥,而不是编辑 CrewAI Platform 配置。CrewAI Platform 不会保留密钥值的任何明文副本。
- 降低暴露风险 - 敏感值不会以明文形式存在于 CrewAI Platform 配置中。
- 云原生审计能力 - 你的 provider 审计日志会记录每次密钥读取。
两条路径:Static Credentials vs Workload Identity
Section titled “两条路径:Static Credentials vs Workload Identity”将 CrewAI Platform 连接到云端密钥存储有两种方式。它们在轮换行为上差异很大,因此请根据密钥轮换频率和安全要求来选择。
| Aspect | Static Credentials | Workload Identity (OIDC Federation) |
|---|---|---|
| Authentication | 存放在 CrewAI Platform 中的长期 access keys / service account JSON | 每个 worker process 生成的短期 token;不会在任何地方存储静态凭据 |
| Rotation propagation | 在部署时解析,并写入部署的 container image - 轮换后的值需要重新部署 | 在automation execution time 解析 - 轮换后的值会在下一次 kickoff 自动生效,无需重新部署 |
| Setup effort | 较低 - 粘贴 keys / 上传 service account JSON | 较高 - 在云端将 CrewAI Platform 注册为 OIDC provider,并配置 trust policies |
| Best for | 快速上手、较少轮换的密钥、单账户部署 | 生产环境、频繁轮换的密钥、禁止长期凭据的合规环境 |
选择你的设置指南
Section titled “选择你的设置指南”| Provider | Static Credentials | Workload Identity |
|---|---|---|
| AWS Secrets Manager | AWS - static keys / AssumeRole | AWS - Workload Identity (OIDC) |
| Google Cloud Secret Manager | GCP - service account key | GCP - Workload Identity Federation |
| Azure Key Vault | Azure - client secret | Azure - Workload Identity Federation |
它如何协同工作
Section titled “它如何协同工作”设置 Secrets Manager 是一个三步流程,涉及你的云 provider 和 CrewAI Platform:
- 管理员配置 provider 凭据。 这是云端的工作 - 具体步骤会根据你选择的路径(static credentials 或 Workload Identity)而不同。各 provider 的专门指南会从头到尾覆盖整个流程。
- 管理员(或被授权的成员)在环境变量中引用密钥。 在 Environment Variables 页面,用户选择 provider 凭据并选择密钥名称。详情见 Using the Secrets Manager。
- 自动化在运行时接收解析后的值。 当 crew 或 automation 运行时,CrewAI Platform 会从你的 provider 获取密钥并将其注入为环境变量值。使用 Workload Identity 时,每次 kickoff 都会执行这一步(具备 rotation awareness)。使用 static credentials 时,这一步发生在部署时,值会写入部署镜像。
可见性与范围
Section titled “可见性与范围”以下两个 CrewAI Platform 功能控制对 Secrets Manager 的访问:
secret_providers- 控制谁可以查看或管理 provider 凭据。environment_variables- 控制谁可以创建和编辑环境变量(包括引用密钥的变量)。
第三个功能控制 Workload Identity 设置:
workload_identity_configs- 控制谁可以查看或管理 Workload Identity 配置。仅在使用 Workload Identity 路径时需要。
Owner 始终拥有完整访问权限。Member 默认不会获得 secret_providers 或 workload_identity_configs 的访问权限,必须通过自定义角色显式授予。完整矩阵和逐步说明请参见 Permissions (RBAC)。
选择你的路径:
- Static credentials(更简单,轮换时需要重新部署):
- Workload Identity(rotation-aware,无需重新部署):
- 然后: Use secrets in environment variables and manage permissions