SecretRefs de Vault
El Plugin de Vault incluido permite que OpenClaw resuelva SecretRefs de tipoexec desde
HashiCorp Vault al iniciar y recargar el Gateway. OpenClaw almacena las referencias de Vault
en la configuración, mantiene los valores resueltos en la instantánea de secretos en memoria
y no vuelve a escribir las claves de API resueltas en openclaw.json.
Use esta opción si ya utiliza Vault o desea que las claves de los proveedores de modelos residan fuera de
los archivos de configuración de OpenClaw. Para conocer el modelo de ejecución de SecretRef, consulte
Gestión de secretos.
Antes de comenzar
Necesita:- OpenClaw con el plugin
vaultincluido disponible - un servidor de Vault accesible
- autenticación de Vault que pueda generar un token de cliente con acceso de lectura a las rutas de secretos que OpenClaw debe resolver
- el entorno que inicia el Gateway debe incluir
VAULT_ADDRy, además,VAULT_TOKEN,OPENCLAW_VAULT_AUTH_METHOD=token_fileconVAULT_TOKEN_FILEo un inicio de sesión JWT/Kubernetes configurado
openclaw vault:
Almacenar una clave de proveedor en Vault
De forma predeterminada, OpenClaw utiliza KV v2 montado ensecret, lo que coincide con los ejemplos
del servidor de desarrollo de Vault. Para un entorno de producción de Vault, establezca OPENCLAW_VAULT_KV_MOUNT
en la ruta de montaje KV real antes de crear identificadores de SecretRef. Con los valores predeterminados de OpenClaw,
este identificador de SecretRef:
Hacer que Vault sea visible para el Gateway
Para un Gateway local sin contenedor, exporte la configuración de Vault en el mismo shell que inicia OpenClaw. El método de autenticación predeterminado lee un token de cliente de Vault desdeVAULT_TOKEN:
jwt:
kubernetes. Está destinado a los
Gateways que se ejecutan como pods; el montaje predeterminado es kubernetes y el archivo JWT predeterminado
es la ruta estándar del token de la cuenta de servicio:
OPENCLAW_VAULT_AUTH_MOUNT únicamente cuando Vault haya montado la autenticación de Kubernetes en una ubicación
distinta de auth/kubernetes. Establezca OPENCLAW_VAULT_JWT_FILE únicamente cuando el token de la cuenta
de servicio esté proyectado en una ruta personalizada.
Configuración opcional:
openclaw vault status nunca muestra VAULT_TOKEN; solo indica si están configurados
el token, el archivo de token y el archivo JWT.
Generar y aplicar un plan de SecretRef
Cree un plan que asigne la clave de API del proveedor de modelos de OpenRouter a Vault:--allow-exec porque el plugin de Vault realiza la resolución mediante un proveedor
de SecretRef de tipo exec administrado por OpenClaw.
Si el Gateway aún no está en ejecución, inícielo normalmente después de aplicar el plan
en lugar de ejecutar openclaw secrets reload.
Configurar más claves de proveedores
Atajos integrados:--provider-key:
--provider-key <provider=id> escribe una SecretRef en
models.providers.<provider>.apiKey. Para los proveedores personalizados, no crea
la configuración baseUrl, api ni models del proveedor; configúrela primero.
Use --target <path=id> para cualquier ruta de destino de SecretRef conocida:
openclaw.json. Use
auth-profiles:<agentId>:<path> para destinos existentes de auth-profiles.json.
La ruta de destino debe ser un destino de SecretRef registrado en OpenClaw. El comando de configuración
no crea secretos con nombres arbitrarios en OpenClaw; Vault sigue siendo el
almacén de secretos y OpenClaw solo almacena SecretRefs en campos de configuración compatibles.
Formato del identificador de SecretRef
Los identificadores de SecretRef de Vault utilizan esta convención:
El campo devuelto por Vault debe ser una cadena.
Para KV v1, establezca:
providers/openrouter/apiKey lee:
Qué almacena OpenClaw
Al aplicar un plan de configuración de Vault, se almacena un proveedor administrado por el plugin:Contenedores e implementaciones administradas
Los Gateways en contenedores siguen utilizando el mismo plugin y la misma configuración de SecretRef. El contenedor debe recibir:VAULT_ADDR- una fuente de autenticación:
VAULT_TOKENOPENCLAW_VAULT_AUTH_METHOD=token_filemásVAULT_TOKEN_FILEOPENCLAW_VAULT_AUTH_METHOD=jwtmásOPENCLAW_VAULT_AUTH_MOUNT,OPENCLAW_VAULT_AUTH_ROLEyOPENCLAW_VAULT_JWT_FILEOPENCLAW_VAULT_AUTH_METHOD=kubernetesmásOPENCLAW_VAULT_AUTH_ROLE; opcionalmente, anuleOPENCLAW_VAULT_AUTH_MOUNToOPENCLAW_VAULT_JWT_FILE
- opcionalmente,
VAULT_NAMESPACE,OPENCLAW_VAULT_KV_MOUNTyOPENCLAW_VAULT_KV_VERSION
OPENCLAW_VAULT_AUTH_METHOD=kubernetes
cuando Vault tenga configurada la autenticación de Kubernetes para el clúster. Use
OPENCLAW_VAULT_AUTH_METHOD=jwt únicamente cuando Vault esté configurado para tratar el clúster
como un emisor JWT/OIDC genérico. Ambas opciones son mejores que un token de Vault
de larga duración en un secreto de Kubernetes. Las implementaciones con un contenedor auxiliar o inyector de Vault Agent pueden
usar token_file en su lugar.
En configuraciones multiinquilino de Vault, mantenga el enrutamiento de inquilinos en la política de Vault y
la configuración de implementación. OpenClaw no requiere un montaje, rol ni ruta fijos: cada
entorno del Gateway puede establecer sus propios OPENCLAW_VAULT_KV_MOUNT,
OPENCLAW_VAULT_AUTH_ROLE e identificadores de SecretRef. Si un Gateway compartido debe resolver
distintos usuarios de Vault al mismo tiempo, use proveedores exec configurados manualmente
que encapsulen entornos de autenticación distintos, o separe los inquilinos entre entornos de Gateway
con entornos de Vault independientes.