الانتقال إلى المحتوى الرئيسي

Documentation Index

Fetch the complete documentation index at: https://docs.crewai.com/llms.txt

Use this file to discover all available pages before exploring further.

نظرة عامة

تُتيح ميزة مدير الأسرار لمؤسستك ربط مخزن أسرار خارجي — AWS Secrets Manager أو Google Cloud Secret Manager أو Azure Key Vault — والإشارة إلى تلك الأسرار مباشرةً من متغيرات البيئة على الأتمتات والطواقم لديك. بدلاً من لصق قيم نصية صريحة في المنصة، فإنك تخزّن مجموعة واحدة من بيانات الاعتماد لكل مزود وتُشير إلى الأسرار بالاسم. يمنحك هذا:
  • تخزين مركزي — إدارة الأسرار في مزوّدك بدلاً من تعديل إعدادات CrewAI Platform. لا تحتفظ CrewAI Platform بأي نسخة نصية صريحة من قيمة السر.
  • تقليل التعرّض — لا تظهر القيم الحساسة أبداً كنص صريح في إعدادات CrewAI Platform.
  • قابلية تدقيق سحابية المنشأ — يسجّل سجل التدقيق الخاص بمزوّدك كل قراءة لسر.
يتطلب مدير الأسرار (مساران: بيانات الاعتماد الثابتة و Workload Identity) إصدار CrewAI runtime رقم 1.14.5 أو أحدث في صورة حاوية الأتمتة.

مساران: بيانات اعتماد ثابتة مقابل Workload Identity

هناك طريقتان لربط CrewAI Platform بمخزن أسرار السحابة لديك. يختلفان اختلافاً كبيراً في سلوك التدوير، لذا اختر بناءً على مدى تكرار تدوير أسرارك ومدى صرامة وضعك الأمني.
الجانببيانات الاعتماد الثابتةWorkload Identity (اتحاد OIDC)
المصادقةمفاتيح وصول / ملف JSON لحساب خدمة طويلة الأمد مخزّنة في CrewAI Platformرموز قصيرة الأمد تُصدر لكل عملية عامل؛ لا تُخزَّن بيانات اعتماد ثابتة في أي مكان
انتشار التدويرتُحَلّ وقت النشر وتُدمج في صورة حاوية النشر — تتطلب القيم المُدوَّرة إعادة نشرتُحَلّ وقت تنفيذ الأتمتة — تنتشر القيم المُدوَّرة إلى الإطلاق التالي بدون إعادة نشر
جهد الإعدادأقل — لصق المفاتيح / رفع ملف JSON لحساب الخدمةأعلى — تسجيل CrewAI Platform كمزود OIDC في سحابتك وتكوين سياسات الثقة
الأنسب لـالبداية، الأسرار قليلة التدوير، عمليات نشر بحساب واحدالإنتاج، الأسرار كثيرة التدوير، البيئات التي تحكمها الامتثال وتمنع بيانات الاعتماد طويلة الأمد
يستخدم كلا المسارين نفس تدفق الواجهة للإشارة إلى الأسرار في متغيرات البيئة (راجع استخدام مدير الأسرار). الفرق بالكامل في كيفية مصادقة المنصة لسحابتك ومتى تقرأ قيمة السر.

اختر دليل الإعداد الخاص بك

المزودبيانات الاعتماد الثابتةWorkload Identity
AWS Secrets ManagerAWS — المفاتيح الثابتة / AssumeRoleAWS — Workload Identity (OIDC)
Google Cloud Secret ManagerGCP — مفتاح حساب الخدمةGCP — Workload Identity Federation
Azure Key VaultAzure — السر المُعرَّف للعميلAzure — Workload Identity Federation
واجهتا مدير الأسرار و Workload Identity مُوسومتان حالياً بـ Beta في CrewAI Platform.

كيف تتلاءم الأجزاء معاً

إعداد مدير الأسرار هو تدفق من ثلاث خطوات يشمل كلاً من مزود السحابة و CrewAI Platform:
  1. يُكوِّن المسؤول بيانات اعتماد المزود. هذا هو العمل من جانب السحابة — ويختلف العمل اعتماداً على المسار (بيانات الاعتماد الثابتة أو Workload Identity) الذي تختاره. تغطي أدلة المزودين هذا من البداية إلى النهاية.
  2. يُشير المسؤول (أو عضو مصرَّح له) إلى سر في متغير بيئة. من صفحة متغيرات البيئة، يختار المستخدم بيانات اعتماد المزود ويُحدّد اسم السر. راجع استخدام مدير الأسرار.
  3. تتلقى الأتمتة القيمة المحلولة وقت التشغيل. عندما يعمل طاقم أو أتمتة، تجلب CrewAI Platform السر من مزوّدك وتحقنه كقيمة لمتغير البيئة. مع Workload Identity، يحدث هذا الجلب في كل إطلاق (مراعٍ للتدوير). مع بيانات الاعتماد الثابتة، يحدث الجلب وقت النشر وتُدمج القيمة في صورة النشر.

الرؤية والنطاق

تتّبع متغيرات البيئة المدعومة بـ WI نفس نموذج الإسناد الذي تتّبعه متغيرات البيئة العادية: لا تحلّ الأتمتة سوى متغيرات البيئة المدعومة بـ WI المُسنَدة إليها صراحةً. أَسنِد متغير WI إلى أتمتة من صفحة متغيرات البيئة الخاصة بتلك الأتمتة؛ المتغيرات المُعرَّفة على مستوى المنظمة أو في مشروع Studio لا تُحلّ عند الإطلاق حتى تُسنِدها.
تُشغَّل مرحلة جلب الأسرار في كل إطلاق، لكنها لا تقوم بعمل فعلي إلا حين تكون هناك متغيرات بيئة مدعومة بـ WI مُسنَدة إلى النشر. لكل متغير مُسنَد، يُحلّ وقت التشغيل القيمة من مزوّدك السحابي في كل إطلاق لـ crew أو flow أو training أو test أو checkpoint-restore ويكتبها في بيئة العملية. عند عدم وجود أي متغير مُسنَد، تكون المرحلة بلا أثر (no-op). وإلا فإن التكلفة تتناسب مع عدد المتغيرات المُسنَدة: تأخّر إضافي بسيط لكل إطلاق بالإضافة إلى إدخال واحد في سجل تدقيق السحابة لكل متغير.
على مستوى تكوينات Workload Identity، لا يزال النطاق اليوم عاماً على مستوى المنظمة. تُهيَّأ كل أتمتة في المنظمة استناداً إلى جميع تكوينات Workload Identity التي سجّلتها المنظمة، ولا يمكنك اليوم ربط تكوين Workload Identity محدد بأتمتة بعينها. تحديد نطاق Workload Identity لكل أتمتة موجود في خارطة الطريق. حتى ذلك الحين، سجِّل فقط تكوينات Workload Identity التي يحقّ لكل أتمتة في منظمتك استخدامها.

الأذونات

تتحكم ميزتان في CrewAI Platform بالوصول إلى مدير الأسرار:
  • secret_providers — تتحكم بمن يستطيع عرض أو إدارة بيانات اعتماد المزودين.
  • environment_variables — تتحكم بمن يستطيع إنشاء وتحرير متغيرات البيئة (بما فيها تلك التي تُشير إلى أسرار).
تتحكم ميزة ثالثة بإعداد Workload Identity:
  • workload_identity_configs — تتحكم بمن يستطيع عرض أو إدارة تكوينات Workload Identity. مطلوبة فقط إذا كنت تستخدم مسار Workload Identity.
يتمتع المالكون دائماً بالوصول الكامل. لا يحصل الأعضاء على وصول إلى secret_providers أو workload_identity_configs افتراضياً ويجب منحهم الإذن عبر دور مخصص. راجع الأذونات (RBAC) للحصول على المصفوفة الكاملة والتعليمات خطوة بخطوة.

الخطوات التالية

اختر مسارك: