openclaw secrets apply.
Se un target non rispetta queste regole, apply non riesce prima di modificare la configurazione.
Forma del file di piano
openclaw secrets apply --from <plan.json> si aspetta un array targets di target del piano:
Upsert ed eliminazioni dei provider
I piani possono includere anche due campi opzionali di primo livello che modificano la mappasecrets.providers insieme alle scritture per target:
providerUpserts— un oggetto indicizzato per alias del provider. Ogni valore è una definizione del provider (la stessa forma accettata sottosecrets.providers.<alias>inopenclaw.json, ad esempio un providerexecofile).providerDeletes— un array di alias dei provider da rimuovere.
providerUpserts viene eseguito prima di targets, quindi un target.ref.provider può
fare riferimento a un alias del provider introdotto dallo stesso piano in
providerUpserts. Senza questo, i piani che fanno riferimento a un alias non ancora
configurato in openclaw.json non riescono con provider "<alias>" is not configured.
providerUpserts sono comunque soggetti alle
regole di consenso exec in Comportamento del consenso del provider exec:
i piani che contengono provider exec richiedono --allow-exec in modalità di scrittura.
Ambito dei target supportati
I target del piano sono accettati per i percorsi delle credenziali supportati in:Comportamento del tipo di target
Regola generale:target.typedeve essere riconosciuto e deve corrispondere alla forma normalizzata ditarget.path.
models.providers.apiKeyskills.entries.apiKeychannels.googlechat.serviceAccount
Regole di convalida dei percorsi
Ogni target viene convalidato con tutte le condizioni seguenti:typedeve essere un tipo di target riconosciuto.pathdeve essere un percorso puntato non vuoto.pathSegmentspuò essere omesso. Se fornito, deve normalizzarsi esattamente nello stesso percorso dipath.- I segmenti vietati vengono rifiutati:
__proto__,prototype,constructor. - Il percorso normalizzato deve corrispondere alla forma del percorso registrata per il tipo di target.
- Se
providerIdoaccountIdè impostato, deve corrispondere all’id codificato nel percorso. - I target
auth-profiles.jsonrichiedonoagentId. - Quando si crea una nuova mappatura
auth-profiles.json, includereauthProfileProvider.
Comportamento in caso di errore
Se un target non supera la convalida, apply termina con un errore come:Comportamento del consenso del provider exec
--dry-runsalta per impostazione predefinita i controlli exec SecretRef.- I piani che contengono SecretRef/provider exec vengono rifiutati in modalità di scrittura a meno che
--allow-execnon sia impostato. - Quando si convalidano/applicano piani contenenti exec, passare
--allow-execsia nei comandi dry-run sia in quelli di scrittura.
Note su runtime e ambito di audit
- Le voci solo ref di
auth-profiles.json(keyRef/tokenRef) sono incluse nella risoluzione runtime e nella copertura di audit. secrets applyscrive i target supportati diopenclaw.json, i target supportati diauth-profiles.jsone i target di pulizia opzionali.
Controlli dell’operatore
openclaw secrets configure oppure correggere il percorso del target in una forma supportata sopra.