Aller au contenu

Secrets (sops + age)

Les secrets vivent dans secrets/*.enc.env, chiffrés avec sops et une clé age.

  • Clé privée : ~/.config/sops/age/keys.txt sur dev-laravelà sauvegarder hors de l'infra (gestionnaire de mots de passe ou copie imprimée) : sans elle, les secrets sont irrécupérables.
  • Clé publique (destinataire) : déclarée dans .sops.yaml.

Opérations

sops secrets/pve.enc.env                 # éditer (déchiffre/rechiffre automatiquement)
sops exec-env secrets/pve.enc.env 'cmd'  # exécuter une commande avec les secrets en env

Tokens API Proxmox

Token Rôle Usage
iac@pve!iac Administrator OpenTofu (secret dans secrets/pve.enc.env)
Claude@pam!Claude PVEAuditor (lecture seule) Audits / vérifications

Rotation : créer le nouveau token (pveum user token add), mettre à jour le fichier chiffré, supprimer l'ancien (pveum user token remove).