Хранилище конфигурации
Хранилище конфигурации обеспечивает синхронизацию конфигурации CLI между устройствами с шифрованием без раскрытия данных. Ваши конфигурации шифруются ключами, полученными из вашего passkey — сервер никогда не видит данные в открытом виде.
Предварительные требования
- Двухфакторная аутентификация включена в вашей учётной записи
- Провайдер passkey с поддержкой PRF: ключ безопасности FIDO2 (например, YubiKey), iCloud Keychain, Google Password Manager, 1Password или Dashlane
- Браузер: Chrome 133+, Edge 133+, Firefox 130+ или Safari 17+
Настройка
- Перейдите в Хранилище конфигурации в боковой панели, затем нажмите Настроить хранилище конфигурации
- Контрольный список требований проверяет ваш браузер, 2FA и статус сессии
- Нажмите Начать настройку — вам нужно будет коснуться ключа безопасности дважды:
- Первое касание: регистрирует passkey
- Второе касание: извлекает ключи шифрования через PRF
- Настройка завершена — секрет passkey хранится в связке ключей вашей ОС
После настройки ежедневные операции CLI (push/pull) работают без passkey.
Совместимость провайдеров PRF
| Провайдер | Поддержка PRF | Платформы |
|---|---|---|
| YubiKey / ключи безопасности FIDO2 | ✅ | Windows 11, macOS, Linux |
| iCloud Keychain | ✅ | macOS 15+, iOS 18+ |
| Google Password Manager | ✅ | Android |
| 1Password | ✅ | Android, iOS |
| Dashlane | ✅ | Кроссплатформенный |
| Расширение Bitwarden | ❌ | В разработке |
| Windows Hello | ❌ | Не поддерживается |
Управление участниками
Хранилище конфигурации привязано к организации. Участники управляются через веб-портал:
- Просмотр участников: Хранилище конфигурации → Участники
- Добавить участника: В настоящее время только через CLI (веб-интерфейс планируется)
- Удалить участника: Нажмите кнопку удаления на странице Участники (требуется 2FA + повторная аутентификация)
Защитные механизмы предотвращают удаление последнего активного участника или удаление самого себя.
Безопасность
- Без раскрытия данных: Сервер хранит тройно зашифрованные данные, которые не может расшифровать
- Разделённый ключ: Для расшифровки требуется как ваш секрет passkey (клиент), так и серверный секрет (сервер)
- Ротация токенов: Каждый API-вызов использует свежий токен; старые токены самоуничтожаются
- Привязка к IP: Токены привязываются к вашему IP при первом использовании
- Мгновенный отзыв: Удалённые участники теряют доступ в течение 30 секунд
Устранение неполадок
| Ошибка | Причина | Решение |
|---|---|---|
| PRF not supported | Аутентификатор не поддерживает расширение PRF | Используйте YubiKey, iCloud Keychain, 1Password или Dashlane |
| X25519 not supported | Слишком старая версия браузера | Обновите до Chrome 133+, Edge 133+, Firefox 130+ или Safari 17+ |
| Already configured | Хранилище уже существует для вашей организации | Посетите /account/config-storage для управления |
| Config storage not configured | На сервере отсутствует blob-хранилище | Свяжитесь с администратором для настройки R2/RustFS |
| Token expired | Нет активности в течение 24 часов | Выполните любую команду хранилища конфигурации для обновления |
| Cannot remove last member | Навсегда заблокирует хранилище | Сначала добавьте другого участника |