Seguridad

Vault

Proteja claves, secretos y accesos frecuentes con el Vault de YeePilot, su bloqueo dual y sus herramientas de recuperación.

Última actualización: 21 de junio de 2026

Qué es

El Vault es el espacio cifrado de YeePilot para credenciales, claves y datos sensibles que no quiere dejar expuestos en texto plano.

Qué protege

Los usuarios suelen usarlo para:

  • claves API
  • secretos de despliegue
  • accesos SSH y metadatos relacionados
  • hosts confiables
  • datos portables exportados o importados

Doble estado de bloqueo

Hay dos estados que conviene distinguir:

  • el cliente puede estar bloqueado
  • el Vault puede estar bloqueado

Desde el HUD puede ver ambos estados de un vistazo en la pestaña Vault.

Desbloquear y métodos

Los flujos habituales usan contraseña, PIN u otros métodos configurados.

Ejemplos útiles:

bash
yeepilot vault list --unlock-method password
yeepilot vault showmeta my-entry --unlock-method password
yeepilot vault add-method --unlock-method password --method yubikey
yeepilot vault primary --method pin

Entradas SSH Tier-2 y agent-only

YeePilot usa tiers de entradas para separar secretos copiables de secretos que el agente solo puede usar mediante herramientas controladas. Una entrada SSH Tier-2 es agent-only: la clave puede usarse para operaciones SSH aprobadas, pero la clave privada no se copia en prompts, salidas de comandos ni vistas de metadatos.

Usa entradas SSH Tier-2 para:

  • probar una conexión SSH respaldada por el vault
  • ejecutar comandos remotos controlados tras aprobación
  • subir archivos locales por SFTP a una ruta remota aprobada
  • escanear y confiar en huellas de host antes del primer uso

Recovery key

La recovery key es crítica si pierde su método principal. Manténgala fuera del equipo y en un lugar seguro.

Rotarla:

bash
yeepilot vault rotate-recovery --unlock-method password

Conectar y confiar hosts

Para conectar una entrada:

bash
yeepilot vault connect prod-ssh --unlock-method password

Para marcar un host como confiable:

bash
yeepilot vault trust-host example.com
yeepilot vault trust-host example.com:2222 SHA256:abc123...

Portable export e import

Cuando necesita mover datos entre equipos o perfiles, use las funciones portables desde el cliente o los flujos asociados del Vault. Valide siempre el destino antes de importar secretos.

Autolock

El autolock reduce el riesgo cuando deja la terminal abierta. Si trabaja en una máquina compartida o en remoto, manténgalo activado.

HUD y pantalla de bloqueo

La pestaña Vault del HUD sirve para:

  • ver si el Vault está bloqueado
  • abrir la lock screen
  • revisar entradas disponibles
  • saltar a acciones relacionadas

Buenas prácticas

  • guarde la recovery key por separado
  • use un método principal fuerte
  • revise el estado del Vault antes de trabajos sensibles
  • bloquee o cierre la sesión cuando termine
Anterior

Sandbox y aislamiento de ejecucion

Security

Siguiente

Referencia de configuración

Configuration