Secrets (sops + age)
Les secrets vivent dans secrets/*.enc.env, chiffrés avec sops et une clé age.
- Clé privée :
~/.config/sops/age/keys.txtsurdev-laravel— à sauvegarder hors de l'infra (gestionnaire de mots de passe ou copie imprimée) : sans elle, les secrets sont irrécupérables. - Clé publique (destinataire) : déclarée dans
.sops.yaml.
Opérations
sops secrets/pve.enc.env # éditer (déchiffre/rechiffre automatiquement)
sops exec-env secrets/pve.enc.env 'cmd' # exécuter une commande avec les secrets en env
Tokens API Proxmox
| Token | Rôle | Usage |
|---|---|---|
iac@pve!iac |
Administrator | OpenTofu (secret dans secrets/pve.enc.env) |
Claude@pam!Claude |
PVEAuditor (lecture seule) | Audits / vérifications |
Rotation : créer le nouveau token (pveum user token add), mettre à jour le fichier chiffré, supprimer l'ancien (pveum user token remove).