跳转到内容

Secrets Manager 概览

Secrets Manager 功能允许你的组织连接外部密钥存储 - AWS Secrets Manager、Google Cloud Secret Manager 或 Azure Key Vault - 并直接从你的自动化和 crews 的环境变量中引用这些密钥。你无需将明文值粘贴到平台中,而是为每个 provider 存储一组凭据,并通过名称引用密钥。

这会带来以下好处:

  • 集中存储 - 在 provider 中管理密钥,而不是编辑 CrewAI Platform 配置。CrewAI Platform 不会保留密钥值的任何明文副本。
  • 降低暴露风险 - 敏感值不会以明文形式存在于 CrewAI Platform 配置中。
  • 云原生审计能力 - 你的 provider 审计日志会记录每次密钥读取。

两条路径:Static Credentials vs Workload Identity

Section titled “两条路径:Static Credentials vs Workload Identity”

将 CrewAI Platform 连接到云端密钥存储有两种方式。它们在轮换行为上差异很大,因此请根据密钥轮换频率和安全要求来选择。

AspectStatic CredentialsWorkload Identity (OIDC Federation)
Authentication存放在 CrewAI Platform 中的长期 access keys / service account JSON每个 worker process 生成的短期 token;不会在任何地方存储静态凭据
Rotation propagation在部署时解析,并写入部署的 container image - 轮换后的值需要重新部署automation execution time 解析 - 轮换后的值会在下一次 kickoff 自动生效,无需重新部署
Setup effort较低 - 粘贴 keys / 上传 service account JSON较高 - 在云端将 CrewAI Platform 注册为 OIDC provider,并配置 trust policies
Best for快速上手、较少轮换的密钥、单账户部署生产环境、频繁轮换的密钥、禁止长期凭据的合规环境
ProviderStatic CredentialsWorkload Identity
AWS Secrets ManagerAWS - static keys / AssumeRoleAWS - Workload Identity (OIDC)
Google Cloud Secret ManagerGCP - service account keyGCP - Workload Identity Federation
Azure Key VaultAzure - client secretAzure - Workload Identity Federation

设置 Secrets Manager 是一个三步流程,涉及你的云 provider 和 CrewAI Platform:

  1. 管理员配置 provider 凭据。 这是云端的工作 - 具体步骤会根据你选择的路径(static credentials 或 Workload Identity)而不同。各 provider 的专门指南会从头到尾覆盖整个流程。
  2. 管理员(或被授权的成员)在环境变量中引用密钥。 在 Environment Variables 页面,用户选择 provider 凭据并选择密钥名称。详情见 Using the Secrets Manager
  3. 自动化在运行时接收解析后的值。 当 crew 或 automation 运行时,CrewAI Platform 会从你的 provider 获取密钥并将其注入为环境变量值。使用 Workload Identity 时,每次 kickoff 都会执行这一步(具备 rotation awareness)。使用 static credentials 时,这一步发生在部署时,值会写入部署镜像。

以下两个 CrewAI Platform 功能控制对 Secrets Manager 的访问:

  • secret_providers - 控制谁可以查看或管理 provider 凭据。
  • environment_variables - 控制谁可以创建和编辑环境变量(包括引用密钥的变量)。

第三个功能控制 Workload Identity 设置:

  • workload_identity_configs - 控制谁可以查看或管理 Workload Identity 配置。仅在使用 Workload Identity 路径时需要。

Owner 始终拥有完整访问权限。Member 默认不会获得 secret_providersworkload_identity_configs 的访问权限,必须通过自定义角色显式授予。完整矩阵和逐步说明请参见 Permissions (RBAC)

选择你的路径: