Plugin guides
Kasa SecretRef'leri
Vault SecretRef'leri
Paketle birlikte gelen Vault Plugin'i, OpenClaw'un Gateway başlangıcında ve yeniden yükleme sırasında HashiCorp Vault'taki exec SecretRef'lerini çözümlemesini sağlar. OpenClaw, Vault referanslarını yapılandırmada saklar, çözümlenen değerleri bellek içi gizli bilgiler anlık görüntüsünde tutar ve çözümlenen API anahtarlarını openclaw.json dosyasına geri yazmaz.
Zaten Vault çalıştırıyorsanız veya model sağlayıcısı anahtarlarının OpenClaw yapılandırma dosyalarının dışında tutulmasını istiyorsanız bunu kullanın. SecretRef çalışma zamanı modeli için Gizli bilgilerin yönetimi bölümüne bakın.
Başlamadan önce
Gereksinimler:
- paketle birlikte gelen
vaultPlugin'inin kullanılabilir olduğu OpenClaw - erişilebilir bir Vault sunucusu
- OpenClaw'un çözümlemesi gereken gizli bilgi yollarına okuma erişimi olan bir istemci belirteci üretebilen Vault kimlik doğrulaması
- Gateway'i başlatan ortamda
VAULT_ADDRve ayrıcaVAULT_TOKEN,VAULT_TOKEN_FILEile birlikteOPENCLAW_VAULT_AUTH_METHOD=token_fileveya yapılandırılmış bir JWT/Kubernetes oturum açma yöntemi bulunmalıdır
Çözümleyici, Node üzerinden HTTP kullanarak Vault ile iletişim kurar. Gateway'in SecretRef'leri çözümlemek için Vault CLI'ına ihtiyacı yoktur.
openclaw vault komutlarını çalıştırmadan önce paketle birlikte gelen Plugin'i etkinleştirin:
openclaw plugins enable vaultVault'ta bir sağlayıcı anahtarı saklama
OpenClaw varsayılan olarak secret konumuna bağlanmış KV v2'yi kullanır; bu, Vault geliştirme sunucusu örnekleriyle uyumludur. Üretim Vault ortamında, SecretRef kimliklerini oluşturmadan önce OPENCLAW_VAULT_KV_MOUNT değerini gerçek KV bağlama yolunuza ayarlayın. OpenClaw varsayılanlarıyla şu SecretRef kimliği:
providers/openrouter/apiKeyşu Vault alanını okur:
secret/data/providers/openrouter -> apiKeyBunu Vault CLI ile oluşturmanın bir yolu şudur:
export OPENROUTER_API_KEY=<openrouter-api-key>vault kv put secret/providers/openrouter apiKey="$OPENROUTER_API_KEY"OpenClaw için kök belirteç değil, kapsamı sınırlandırılmış bir istemci belirteci kullanın. Varsayılan KV v2 düzeninde, model sağlayıcısı anahtarları için asgari bir politika şu şekildedir:
path "secret/data/providers/*" { capabilities = ["read"]}Vault'u Gateway için görünür hâle getirme
Kapsayıcıda çalışmayan yerel bir Gateway için Vault ayarlarını OpenClaw'u başlatan aynı kabukta dışa aktarın. Varsayılan kimlik doğrulama yöntemi, Vault istemci belirtecini VAULT_TOKEN değişkeninden okur:
export VAULT_ADDR=https://vault.example.comexport VAULT_TOKEN=<vault-client-token>Vault Agent bir belirteç havuzu dosyası yazıyorsa belirteç dosyası kimlik doğrulamasını kullanın:
export VAULT_ADDR=https://vault.example.comexport OPENCLAW_VAULT_AUTH_METHOD=token_fileexport VAULT_TOKEN_FILE=/vault/secrets/tokenÖzel bir CA tarafından imzalanmış Vault sunucusu için bu CA'yı ana makinenin güven deposuna yükleyip Node sistem güvenini etkinleştirin:
export NODE_USE_SYSTEM_CA=1Alternatif olarak doğrudan bir PEM paketi sağlayın:
export NODE_EXTRA_CA_CERTS=/path/to/vault-ca.pemOpenClaw başlatıldığında bu değişkenler mevcut olmalıdır. Vault Plugin'i bunları çözümleyici sürecine iletir.
Etkileşimsiz JWT kimlik doğrulaması için bir iş yükü JWT dosyası ve jwt türünde bir Vault rolü kullanın:
export VAULT_ADDR=https://vault.example.comexport OPENCLAW_VAULT_AUTH_METHOD=jwtexport OPENCLAW_VAULT_AUTH_MOUNT=jwtexport OPENCLAW_VAULT_AUTH_ROLE=openclawexport OPENCLAW_VAULT_JWT_FILE=/var/run/secrets/tokens/vaultJWT dosyası, Vault rolünün kabul ettiği bir hedef kitleye sahip Kubernetes hizmet hesabı belirteci gibi yansıtılmış bir iş yükü belirteci olmalıdır. Etkileşimli OIDC tarayıcı oturumu insanlar için kullanışlıdır, ancak Gateway çalışma zamanı etkileşimsiz JWT oturumu veya bir belirteç dosyası gerektirir.
Vault'un Kubernetes kimlik doğrulama yöntemi için kubernetes kullanın. Bu yöntem, Pod olarak çalışan Gateway'ler içindir; varsayılan bağlama noktası kubernetes, varsayılan JWT dosyası ise standart hizmet hesabı belirteci yoludur:
export VAULT_ADDR=https://vault.example.comexport OPENCLAW_VAULT_AUTH_METHOD=kubernetesexport OPENCLAW_VAULT_AUTH_ROLE=openclawOPENCLAW_VAULT_AUTH_MOUNT değişkenini yalnızca Vault, Kubernetes kimlik doğrulamasını auth/kubernetes dışında bir konuma bağladıysa ayarlayın. OPENCLAW_VAULT_JWT_FILE değişkenini yalnızca hizmet hesabı belirteci özel bir yola yansıtılmışsa ayarlayın.
İsteğe bağlı ayarlar:
export VAULT_NAMESPACE=<namespace-name>export OPENCLAW_VAULT_KV_MOUNT=secretexport OPENCLAW_VAULT_KV_VERSION=2Geçerli kabuğun neleri görebildiğini denetleyin:
openclaw vault statusVault destekli birden fazla gizli bilgi sağlayıcısı yapılandırıldığında birini takma adına göre seçin:
openclaw vault status --provider-alias corp-vaultopenclaw vault status, VAULT_TOKEN değerini hiçbir zaman yazdırmaz; yalnızca belirtecin, belirteç dosyasının ve JWT dosyasının ayarlanıp ayarlanmadığını bildirir.
SecretRef planı oluşturma ve uygulama
OpenRouter'ın model sağlayıcısı API anahtarını Vault ile eşleyen bir plan oluşturun:
openclaw vault setup \ --plan-out ./vault-secrets-plan.json \ --openrouter-id providers/openrouter/apiKeyPlanı uygulayın ve doğrulayın:
openclaw secrets apply --from ./vault-secrets-plan.json --dry-run --allow-execopenclaw secrets apply --from ./vault-secrets-plan.json --allow-execopenclaw secrets audit --check --allow-execopenclaw secrets reloadVault Plugin'i OpenClaw tarafından yönetilen bir exec SecretRef sağlayıcısı üzerinden çözümleme yaptığı için --allow-exec kullanın.
Gateway henüz çalışmıyorsa planı uyguladıktan sonra openclaw secrets reload komutunu çalıştırmak yerine Gateway'i normal şekilde başlatın.
Daha fazla sağlayıcı anahtarı yapılandırma
Yerleşik kısayollar:
openclaw vault setup --openai-id providers/openai/apiKeyopenclaw vault setup --anthropic-id providers/anthropic/apiKeyopenclaw vault setup --openrouter-id providers/openrouter/apiKeyTek planda birden fazla sağlayıcı anahtarı:
openclaw vault setup \ --plan-out ./vault-secrets-plan.json \ --openai-id providers/openai/apiKey \ --anthropic-id providers/anthropic/apiKey \ --openrouter-id providers/openrouter/apiKeyKısayolu olmayan paketle birlikte gelen sağlayıcılar veya önceden yapılandırılmış OpenAI uyumlu ve özel model sağlayıcıları için --provider-key kullanın:
openclaw vault setup \ --plan-out ./vault-secrets-plan.json \ --provider-key local-openai=providers/local-openai/apiKey \ --provider-key groq=providers/groq/apiKeyHer --provider-key <provider=id>, models.providers.<provider>.apiKey konumuna bir SecretRef yazar. Özel sağlayıcılar için sağlayıcının baseUrl, api veya models ayarlarını oluşturmaz; önce bunları yapılandırın.
Bilinen herhangi bir SecretRef hedef yolu için --target <path=id> kullanın:
openclaw vault setup \ --target channels.telegram.botToken=channels/telegram/botToken \ --target models.providers.openai.headers.x-api-key=providers/openai/proxyKey \ --target auth-profiles:main:profiles.openai.key=providers/openai/apiKeyÇıplak hedef yollar openclaw.json dosyasına uygulanır. Mevcut auth-profiles.json hedefleri için auth-profiles:<agentId>:<path> kullanın. Hedef yol, kayıtlı bir OpenClaw SecretRef hedefi olmalıdır. Kurulum komutu OpenClaw'da rastgele adlandırılmış gizli bilgiler oluşturmaz; gizli bilgi deposu Vault olarak kalır ve OpenClaw, SecretRef'leri yalnızca desteklenen yapılandırma alanlarında saklar.
SecretRef kimliği biçimi
Vault SecretRef kimlikleri şu kuralı kullanır:
<vault-secret-path>/<field>Örnekler:
| SecretRef kimliği | Varsayılan KV v2 Vault okuması | Döndürülen alan |
|---|---|---|
providers/openrouter/apiKey |
secret/data/providers/openrouter |
apiKey |
providers/openai/apiKey |
secret/data/providers/openai |
apiKey |
teams/agent-prod/openrouter |
secret/data/teams/agent-prod |
openrouter |
Döndürülen Vault alanı bir dize olmalıdır.
KV v1 için şunu ayarlayın:
export OPENCLAW_VAULT_KV_VERSION=1Bu durumda providers/openrouter/apiKey şunu okur:
secret/providers/openrouter -> apiKeyOpenClaw'un sakladıkları
Bir Vault kurulum planı uygulandığında Plugin tarafından yönetilen bir sağlayıcı saklanır:
{ "source": "exec", "pluginIntegration": { "pluginId": "vault", "integrationId": "vault" }}Kimlik bilgisi alanları bu sağlayıcıyı gösterir:
{ "source": "exec", "provider": "vault", "id": "providers/openrouter/apiKey" }Çözümlenen değer yalnızca etkin çalışma zamanı gizli bilgileri anlık görüntüsünde bulunur.
Kapsayıcılar ve yönetilen dağıtımlar
Kapsayıcıda çalışan Gateway'ler de aynı Plugin'i ve SecretRef yapılandırmasını kullanır. Kapsayıcıya şunlar aktarılmalıdır:
VAULT_ADDR- bir kimlik doğrulama kaynağı:
VAULT_TOKENOPENCLAW_VAULT_AUTH_METHOD=token_fileile birlikteVAULT_TOKEN_FILEOPENCLAW_VAULT_AUTH_METHOD=jwtile birlikteOPENCLAW_VAULT_AUTH_MOUNT,OPENCLAW_VAULT_AUTH_ROLEveOPENCLAW_VAULT_JWT_FILEOPENCLAW_VAULT_AUTH_METHOD=kubernetesile birlikteOPENCLAW_VAULT_AUTH_ROLE; isteğe bağlı olarakOPENCLAW_VAULT_AUTH_MOUNTveyaOPENCLAW_VAULT_JWT_FILEdeğerini geçersiz kılın
- isteğe bağlı
VAULT_NAMESPACE,OPENCLAW_VAULT_KV_MOUNTveOPENCLAW_VAULT_KV_VERSION
Kubernetes kullanırken Vault, küme için Kubernetes kimlik doğrulamasıyla yapılandırılmışsa OPENCLAW_VAULT_AUTH_METHOD=kubernetes yöntemini tercih edin. OPENCLAW_VAULT_AUTH_METHOD=jwt yöntemini yalnızca Vault, kümeyi genel bir JWT/OIDC düzenleyicisi olarak ele alacak şekilde yapılandırılmışsa kullanın. Her iki seçenek de Kubernetes Secret içinde uzun ömürlü bir Vault belirteci bulundurmaktan daha iyidir. Vault Agent yan kapsayıcısı veya enjektör dağıtımları bunun yerine token_file kullanabilir.
Çok kiracılı Vault kurulumlarında kiracı yönlendirmesini Vault politikasında ve dağıtım yapılandırmasında tutun. OpenClaw sabit bir bağlama noktası, rol veya yol gerektirmez: her Gateway ortamı kendi OPENCLAW_VAULT_KV_MOUNT, OPENCLAW_VAULT_AUTH_ROLE ve SecretRef kimliklerini ayarlayabilir. Paylaşılan tek bir Gateway'in aynı anda farklı Vault kullanıcıları için çözümleme yapması gerekiyorsa farklı kimlik doğrulama ortamlarını sarmalayan, elle yapılandırılmış exec sağlayıcıları kullanın veya kiracıları ayrı Vault ortam değişkenlerine sahip Gateway ortamlarına bölün.