openclaw secrets apply.
Якщо ціль не відповідає цим правилам, apply завершується помилкою до зміни конфігурації.
Форма файлу плану
openclaw secrets apply --from <plan.json> очікує масив targets із цілями плану:
Upsert-операції та видалення провайдерів
Плани також можуть містити два необов’язкові поля верхнього рівня, які змінюють мапуsecrets.providers разом із записами для окремих цілей:
providerUpserts— об’єкт із ключами за псевдонімами провайдерів. Кожне значення є визначенням провайдера (та сама форма, яку приймаєsecrets.providers.<alias>вopenclaw.json, наприклад провайдерexecабоfile).providerDeletes— масив псевдонімів провайдерів для видалення.
providerUpserts виконується перед targets, тому target.ref.provider може
посилатися на псевдонім провайдера, який той самий план вводить у
providerUpserts. Без цього плани, що посилаються на псевдонім, ще не
налаштований в openclaw.json, завершуються помилкою provider "<alias>" is not configured.
providerUpserts, усе ще підпадають під правила
згоди для exec у Поведінка згоди для exec-провайдера:
плани, що містять exec-провайдери, потребують --allow-exec у режимі запису.
Підтримувана область цілей
Цілі плану приймаються для підтримуваних шляхів облікових даних у:Поведінка типів цілей
Загальне правило:target.typeмає бути розпізнаним і має відповідати нормалізованій форміtarget.path.
models.providers.apiKeyskills.entries.apiKeychannels.googlechat.serviceAccount
Правила перевірки шляхів
Кожна ціль перевіряється за всіма наведеними нижче правилами:typeмає бути розпізнаним типом цілі.pathмає бути непорожнім dot-шляхом.pathSegmentsможна не вказувати. Якщо його надано, він має нормалізуватися точно до того самого шляху, що йpath.- Заборонені сегменти відхиляються:
__proto__,prototype,constructor. - Нормалізований шлях має відповідати зареєстрованій формі шляху для типу цілі.
- Якщо задано
providerIdабоaccountId, він має відповідати ідентифікатору, закодованому в шляху. - Цілі
auth-profiles.jsonпотребуютьagentId. - Під час створення нового зіставлення
auth-profiles.jsonдодайтеauthProfileProvider.
Поведінка в разі помилки
Якщо ціль не проходить перевірку, apply завершується з помилкою на кшталт:Поведінка згоди для exec-провайдера
--dry-runтипово пропускає перевірки exec SecretRef.- Плани, що містять exec SecretRefs/провайдери, відхиляються в режимі запису, якщо не задано
--allow-exec. - Під час перевірки або застосування планів, що містять exec, передавайте
--allow-execі в dry-run, і в командах запису.
Примітки щодо області runtime та аудиту
- Записи
auth-profiles.jsonлише з посиланнями (keyRef/tokenRef) включені до runtime-визначення та аудиторського покриття. secrets applyзаписує підтримувані ціліopenclaw.json, підтримувані ціліauth-profiles.jsonі необов’язкові цілі очищення.
Перевірки оператора
openclaw secrets configure або виправте шлях цілі до підтримуваної форми вище.