docs(secrets-manager): WI env vars now follow deployment assignment

Rewrite the Visibility & Scope section in the Secrets Manager overview
(en/ar/ko/pt-BR) to reflect the per-deployment scoping shipped in
crewAIInc/crewai-plus#3205: WI-backed env vars now resolve only when
explicitly assigned to a deployment, matching the assignment model that
plaintext env vars have always used. Per-kickoff cost is reframed as
proportional to assigned WI-backed variables rather than the entire
organization's WI footprint.

Refs CON-205
This commit is contained in:
Heitor Sammuel Carvalho
2026-05-21 07:51:09 +01:00
parent a882e13305
commit 157f4fcfc6
4 changed files with 8 additions and 28 deletions

View File

@@ -56,14 +56,9 @@ Secrets Manager 설정은 클라우드 공급자와 CrewAI Platform 양쪽 모
## 가시성 및 범위
<Warning>
Workload Identity 구성은 현재 각 배포에서 **조직 전체에 적용됩니다** — 자동화별 바인딩은 없습니다. Workload Identity 경로를 광범위하게 도입하기 전에 알아둘 만한 두 가지 결과가 있습니다.
</Warning>
WI 기반 환경 변수는 평문 환경 변수와 동일한 할당 모델을 따릅니다: 자동화는 명시적으로 할당된 WI 기반 변수만 해석합니다. 해당 자동화의 Environment Variables 페이지에서 WI 기반 변수를 자동화에 할당하세요; 조직 수준 또는 Studio 프로젝트에 정의된 변수는 할당하기 전까지 kickoff에서 해석되지 않습니다.
- **모든 자동화 kickoff 시크릿 가져오기 단계를 실행합니다.** 자동화가 WI 기반 환경 변수를 참조하는지 여부와 관계없이 실행됩니다. 매 crew, flow, training, test, 또는 checkpoint-restore kickoff마다, 런타임은 배포에 구성된 모든 WI 기반 환경 변수를 가져와 프로세스 환경에 기록합니다. 비용: kickoff당 약간의 추가 지연 시간과, WI 기반 환경 변수당 하나의 클라우드 측 audit log 항목.
- **배포의 모든 자동화가 WI로 해석된 모든 환경 변수를 볼 수 있습니다.** 오늘날에는 특정 Workload Identity 구성(또는 그것이 해석하는 시크릿)을 특정 자동화로 제한할 수 없습니다. WI 기반 시크릿은 조직 내 모든 자동화에서 사용할 수 있다고 간주하세요.
자동화별 범위 지정은 로드맵에 있습니다. 그때까지는 Workload Identity 사용을 워크플로별이 아닌 조직 수준에서 계획하고 — WI 기반 환경 변수는 조직 내 모든 자동화가 읽을 수 있는 시크릿으로만 제한하세요.
kickoff는 여전히 시크릿 가져오기 단계를 실행합니다. 매 crew, flow, training, test, 또는 checkpoint-restore kickoff마다, 런타임은 해당 자동화에 할당된 WI 기반 환경 변수를 가져와 프로세스 환경에 기록합니다. 비용은 할당된 WI 기반 변수 수에 비례합니다: kickoff당 약간의 추가 지연 시간과, 할당된 변수당 하나의 클라우드 측 audit log 항목.
## 권한