AutonomisAutonomis

Secretos

Los secretos son variables de entorno encriptadas que se inyectan en tu contenedor de agentes. Usalos para tokens de API, URLs de base de datos y cualquier dato sensible que tus agentes o integraciones necesiten.

Que Son los Secretos?

Los secretos son pares clave-valor que se encriptan con AES-256-GCM (via Vault Transit) y se inyectan como variables de entorno en tu contenedor de agentes. Tus agentes e integraciones MCP pueden leerlos en tiempo de ejecucion sin ver nunca el texto plano en la UI o en el almacenamiento de Vault.

Usos comunes:

  • GITHUB_TOKEN — Para la integracion MCP de GitHub
  • BRAVE_API_KEY — Para busqueda web via Brave Search API
  • DISCORD_BOT_TOKEN — Para la integracion de Discord
  • DATABASE_URL — Para acceso a base de datos via PostgreSQL MCP
  • AGENTMAIL_API_KEY — Para capacidades de email

Agregar Secretos

  1. Ve a Secretos en la barra lateral
  2. Haz clic en "Agregar Fila" para añadir uno o mas pares clave-valor
  3. Ingresa la Clave (letras mayusculas, numeros y guiones bajos — maximo 64 caracteres). La clave se formatea automaticamente a mayusculas.
  4. Ingresa el Valor (cualquier cadena — esta enmascarado en la UI)
  5. Agrega mas filas si es necesario — puedes guardar multiples secretos a la vez
  6. Haz clic en "Guardar Todo" para encriptar y almacenarlos
Deteccion de duplicados: Si ingresas la misma clave dos veces, ambas filas se resaltaran en rojo. Elimina el duplicado antes de guardar.

Ver Secretos

Despues de guardar, tus secretos aparecen en una lista mostrando:

  • El nombre de la clave en fuente monoespaciada
  • Un valor enmascarado (mostrado como puntos — no puedes ver el valor real despues de guardarlo)
  • Una insignia "encriptado" confirmando la encriptacion Transit

No puedes ver los valores de los secretos despues de guardar. Si necesitas cambiar un valor, guarda un nuevo secreto con la misma clave — sobrescribira el anterior.

Eliminar Secretos

Haz clic en el icono de papelera junto a cualquier secreto. Un dialogo de confirmacion te pedira que confirmes. Una vez eliminado, la variable de entorno se remueve de tu contenedor en el proximo reinicio.

Recarga en Caliente

Los secretos se recargan en caliente — cuando agregas, actualizas o eliminas un secreto, el cambio toma efecto sin requerir un reinicio del contenedor. El motor de plantillas de Nomad detecta el cambio en Vault y actualiza el entorno automaticamente.

Como Usan los Secretos los Agentes

Los secretos se inyectan como variables de entorno en el contenedor. Tus agentes pueden acceder a ellos de varias formas:

  • Servidores MCP los leen automaticamente. Por ejemplo, el servidor MCP de GitHub lee GITHUB_TOKEN del entorno.
  • Comandos shell pueden acceder a ellos via $NOMBRE_VAR_ENV.
  • Referencia en TOOLS.md — Dile a tu agente donde encontrar las claves:
Ejemplo de TOOLS.md
# APIs
Brave Search: almacenado en el entorno como BRAVE_API_KEY
GitHub: almacenado en el entorno como GITHUB_TOKEN
AgentMail: almacenado en el entorno como AGENTMAIL_API_KEY

Como Funciona la Encriptacion

Cuando guardas un secreto:

  1. El valor se envia a la API de gestion por HTTPS
  2. La API lo encripta usando Vault Transit (AES-256-GCM96)
  3. El texto cifrado (comenzando con vault:v1:) se almacena en Vault KV
  4. Al iniciar el contenedor, el texto cifrado es desencriptado por el script de inicio via la API de Vault Transit
  5. El valor en texto plano se exporta como variable de entorno dentro del contenedor

En ningun momento el valor en texto plano se almacena en disco o es visible en Vault KV. Incluso los administradores que navegan Vault solo ven texto cifrado.

Siguientes Pasos