openclaw secrets apply.
Jeśli cel nie spełnia tych reguł, apply kończy się niepowodzeniem przed zmodyfikowaniem konfiguracji.
Kształt pliku planu
openclaw secrets apply --from <plan.json> oczekuje tablicy targets z celami planu:
Upserty i usunięcia providerów
Plany mogą także zawierać dwa opcjonalne pola najwyższego poziomu, które modyfikują mapęsecrets.providers razem z zapisami dla poszczególnych celów:
providerUpserts— obiekt indeksowany aliasem providera. Każda wartość jest definicją providera (ten sam kształt, który jest akceptowany podsecrets.providers.<alias>wopenclaw.json, np. providerexeclubfile).providerDeletes— tablica aliasów providerów do usunięcia.
providerUpserts uruchamia się przed targets, więc target.ref.provider może
odwoływać się do aliasu providera wprowadzanego przez ten sam plan w
providerUpserts. Bez tego plany odwołujące się do aliasu, który nie jest jeszcze
skonfigurowany w openclaw.json, kończą się błędem provider "<alias>" is not configured.
providerUpserts nadal podlegają regułom zgody na exec w Zachowanie zgody dla providera exec:
plany zawierające providery exec wymagają --allow-exec w trybie zapisu.
Obsługiwany zakres celów
Cele planu są akceptowane dla obsługiwanych ścieżek poświadczeń w:Zachowanie typów celów
Reguła ogólna:target.typemusi być rozpoznany i musi odpowiadać znormalizowanemu kształtowitarget.path.
models.providers.apiKeyskills.entries.apiKeychannels.googlechat.serviceAccount
Reguły walidacji ścieżek
Każdy cel jest walidowany według wszystkich poniższych reguł:typemusi być rozpoznanym typem celu.pathmusi być niepustą ścieżką kropkową.pathSegmentsmożna pominąć. Jeśli zostanie podane, musi normalizować się dokładnie do tej samej ścieżki copath.- Zabronione segmenty są odrzucane:
__proto__,prototype,constructor. - Znormalizowana ścieżka musi pasować do zarejestrowanego kształtu ścieżki dla typu celu.
- Jeśli ustawiono
providerIdlubaccountId, musi ono pasować do identyfikatora zakodowanego w ścieżce. - Cele
auth-profiles.jsonwymagająagentId. - Podczas tworzenia nowego mapowania
auth-profiles.jsonuwzględnijauthProfileProvider.
Zachowanie przy niepowodzeniu
Jeśli walidacja celu zakończy się niepowodzeniem, apply kończy działanie z błędem takim jak:Zachowanie zgody dla providera exec
--dry-rundomyślnie pomija kontrole exec SecretRef.- Plany zawierające SecretRef/providery exec są odrzucane w trybie zapisu, chyba że ustawiono
--allow-exec. - Podczas walidowania/stosowania planów zawierających exec przekaż
--allow-execzarówno w poleceniach dry-run, jak i zapisu.
Uwagi dotyczące zakresu runtime i audytu
- Wpisy
auth-profiles.jsonzawierające tylko referencje (keyRef/tokenRef) są uwzględniane w rozwiązywaniu runtime i pokryciu audytu. secrets applyzapisuje obsługiwane celeopenclaw.json, obsługiwane celeauth-profiles.jsonoraz opcjonalne cele scrub.
Kontrole operatora
openclaw secrets configure albo popraw ścieżkę celu do obsługiwanego kształtu opisanego powyżej.