DocsSeguridadBoveda de credenciales
Volver a Docs
Seguridad

Boveda de credenciales

Almacene y gestione de forma segura claves API, claves SSH y tokens con la boveda cifrada integrada de YeePilot

Última actualización: 1 de marzo de 2026

YeePilot incluye una boveda cifrada integrada para almacenar todas sus credenciales sensibles -- claves API, claves SSH, tokens y contrasenas. La boveda mantiene sus secretos cifrados en reposo y solo los descifra cuando usted la desbloquea explicitamente.

Primeros pasos

Inicializar la boveda

Configure la boveda con una contrasena maestra:

bash
yeepilot vault init

Se le solicitara:

  1. Elegir un metodo de desbloqueo (contrasena, PIN, YubiKey o YubiKey+PIN)
  2. Establecer su credencial maestra
  3. Confirmar la credencial

La boveda se crea y esta lista para usar inmediatamente.

Verificar el estado de la boveda

bash
yeepilot vault status

Esto muestra si la boveda esta inicializada, bloqueada o desbloqueada, el numero de credenciales almacenadas y su metodo de desbloqueo configurado.

Almacenar credenciales

Agregar una credencial

bash
yeepilot vault add

Se le solicitara:

  • Nombre -- una etiqueta descriptiva (por ejemplo, "production-db-password", "aws-api-key")
  • Tipo -- el tipo de credencial (clave API, clave SSH, contrasena, token)
  • Valor -- el secreto en si (la entrada esta oculta)

Ejemplo:

bash
$ yeepilot vault add
Name: digitalocean-api-token
Type: API key
Value: ****
Credential stored successfully.

Listar credenciales almacenadas

bash
yeepilot vault list

Esto muestra los nombres y tipos de todas las credenciales almacenadas sin revelar sus valores:

plaintext
Credentials in vault:
  1. digitalocean-api-token    (API key)
  2. production-db             (password)
  3. deploy-server             (SSH key)
  4. github-pat                (token)

Desbloquear y bloquear

Desbloquear la boveda

bash
yeepilot vault unlock

Se le solicitara su credencial maestra. Una vez desbloqueada, las credenciales estan disponibles para su uso dentro de las sesiones de YeePilot.

Desbloqueo y bloqueo en sesion

Durante una sesion interactiva de YeePilot, use comandos slash:

plaintext
/unlock              # Desbloquear con prompt de contrasena maestra
/unlock mypassword   # Desbloquear con contrasena directamente (use con precaucion)
/lock                # Bloquear la boveda inmediatamente

Bloqueo automatico

La boveda se bloquea automaticamente despues de un periodo de inactividad para proteger sus credenciales si se aleja:

yaml
vault:
  auto_lock_duration: 15m    # Bloquear despues de 15 minutos de inactividad (predeterminado)

Ajuste la duracion o deshabilite el bloqueo automatico:

yaml
vault:
  auto_lock_duration: 30m    # Bloquear despues de 30 minutos
  auto_lock_duration: 0      # Deshabilitar bloqueo automatico (no recomendado)

Metodos de desbloqueo

YeePilot soporta multiples metodos de desbloqueo para adaptarse a sus requisitos de seguridad:

Contrasena

El metodo predeterminado. Establezca una contrasena maestra fuerte durante vault init.

bash
yeepilot vault init
# Choose: password
# Enter password: ********

PIN

Un PIN numerico para desbloqueo mas rapido. Mejor adecuado para entornos de desarrollo.

bash
yeepilot vault init
# Choose: PIN
# Enter PIN: ******

YubiKey

Autenticacion basada en hardware usando una llave de seguridad YubiKey. Proporciona la proteccion mas fuerte ya que la boveda no puede desbloquearse sin la posesion fisica de la llave.

bash
yeepilot vault init
# Choose: YubiKey
# Touch your YubiKey when prompted...

YubiKey + PIN

Combina autenticacion de hardware con un PIN para proteccion de dos factores. Se requieren tanto la YubiKey fisica como el PIN correcto para desbloquear la boveda.

bash
yeepilot vault init
# Choose: YubiKey+PIN
# Enter PIN: ******
# Touch your YubiKey when prompted...

Uso de credenciales

Conexiones SSH

Conectese a servidores usando claves SSH almacenadas en la boveda:

bash
yeepilot vault connect

Se le presentara una lista de claves SSH almacenadas para elegir. YeePilot establece la conexion usando la clave seleccionada sin escribirla en disco.

Claves de proveedores de IA

Cuando almacena claves API de proveedores de IA en la boveda, YeePilot puede recuperarlas automaticamente al iniciar una sesion, para que no necesite mantener claves API en su archivo de configuracion.

Acceso en sesion

Durante una sesion interactiva, si la boveda esta desbloqueada, la IA puede referenciar credenciales almacenadas cuando le pide realizar tareas que las necesiten. Por ejemplo:

plaintext
> Deploy the latest release to the production server using the deploy-server SSH key

YeePilot recupera la clave SSH de la boveda y la usa para la conexion, sin exponer jamas la clave en la terminal o el historial de comandos.

Rotacion de credenciales

Rote credenciales que necesitan actualizaciones periodicas:

bash
yeepilot vault rotate

Esto le guia a traves de la seleccion de una credencial y su reemplazo con un nuevo valor. El valor anterior se sobrescribe de forma segura.

Proteccion contra fuerza bruta

La boveda incluye proteccion contra intentos de desbloqueo por fuerza bruta:

  • Despues de cada intento fallido, el retraso antes del siguiente intento aumenta
  • Despues de 15 intentos fallidos consecutivos, la boveda puede opcionalmente borrar todas las credenciales almacenadas

Esto protege sus secretos incluso si alguien obtiene acceso a su sesion de terminal.

Configure el comportamiento de borrado:

yaml
vault:
  wipe_after_failed_attempts: 15    # Borrar despues de 15 fallos (predeterminado)
  wipe_after_failed_attempts: 0     # Deshabilitar borrado (bloquear permanentemente en su lugar)

Advertencia: Cuando el borrado esta habilitado, exceder el limite de intentos fallidos destruye permanentemente todas las credenciales almacenadas. Asegurese de tener copias de seguridad de los secretos criticos almacenados de forma segura en otro lugar.

Referencia de configuracion

Configuracion completa de la boveda en ~/.yeepilot/config.yaml:

yaml
vault:
  enabled: true                      # Habilitar la boveda de credenciales
  start_locked: true                 # Iniciar sesiones con boveda bloqueada (predeterminado: true)
  auto_lock_duration: 15m            # Bloqueo automatico por inactividad (predeterminado: 15m)
  wipe_after_failed_attempts: 15     # Borrar despues de N desbloqueos fallidos (0 para deshabilitar)

Mejores practicas

  • Use una contrasena maestra fuerte -- su boveda es tan segura como su credencial de desbloqueo
  • Habilite el bloqueo automatico -- mantenga siempre el bloqueo automatico habilitado, especialmente en servidores compartidos o de produccion
  • Prefiera YubiKey para produccion -- el desbloqueo basado en hardware proporciona la proteccion mas fuerte contra compromisos remotos
  • Rote credenciales regularmente -- use yeepilot vault rotate para actualizar secretos en un calendario
  • Mantenga copias de seguridad -- la proteccion de borrado de la boveda es un ultimo recurso; mantenga siempre copias de seguridad seguras de credenciales criticas
  • Inicie bloqueado -- mantenga start_locked: true para que las credenciales nunca esten disponibles sin autenticacion explicita
Anterior

Sandbox y aislamiento de ejecucion

Security

Siguiente

Referencia de configuracion

Configuration