Sécurité

Vault

Protegez vos secrets, cles et acces frequents avec le Vault de YeePilot, son verrouillage double et ses outils de recuperation.

Dernière mise à jour: 21 juin 2026

Ce que c'est

Le Vault est l'espace chiffre de YeePilot pour les identifiants, cles et donnees sensibles que vous ne voulez pas laisser en clair.

Ce qu'il protege

Les usages les plus courants sont :

  • cles API
  • secrets de deploiement
  • acces SSH et metadonnees associees
  • hotes de confiance
  • donnees exportees ou importees en mode portable

Double etat de verrouillage

Il faut distinguer :

  • le client peut etre verrouille
  • le Vault peut etre verrouille

L'onglet Vault du HUD permet de voir les deux etats rapidement.

Deverrouillage et methodes

Les flux courants utilisent mot de passe, PIN ou autres methodes configurees.

Exemples utiles :

bash
yeepilot vault list --unlock-method password
yeepilot vault showmeta my-entry --unlock-method password
yeepilot vault add-method --unlock-method password --method yubikey
yeepilot vault primary --method pin

Entrées SSH Tier-2 et agent-only

YeePilot utilise des tiers d'entrées pour séparer les secrets copiables des secrets que l'agent ne peut utiliser qu'avec des outils contrôlés. Une entrée SSH Tier-2 est agent-only : la clé peut servir aux opérations SSH validées, mais la clé privée n'est pas copiée dans les prompts, les sorties de commande ni les vues de métadonnées.

Utilisez les entrées SSH Tier-2 pour :

  • tester une connexion SSH adossée au vault
  • exécuter des commandes distantes contrôlées après validation
  • uploader des fichiers locaux par SFTP vers un chemin distant validé
  • scanner et valider les empreintes de host avant le premier usage

Recovery key

La recovery key est critique si vous perdez votre methode principale. Conservez-la hors de la machine et dans un endroit sur.

Pour la faire tourner :

bash
yeepilot vault rotate-recovery --unlock-method password

Connecter et faire confiance a un hote

Pour connecter une entree :

bash
yeepilot vault connect prod-ssh --unlock-method password

Pour marquer un hote comme fiable :

bash
yeepilot vault trust-host example.com
yeepilot vault trust-host example.com:2222 SHA256:abc123...

Portable export et import

Quand vous devez deplacer des donnees entre postes ou profils, utilisez les fonctions portables du client ou les flux associes du Vault. Verifiez toujours la destination avant d'importer des secrets.

Autolock

L'autolock reduit le risque quand vous laissez un terminal ouvert. Sur une machine partagee ou en acces distant, laissez-le active.

HUD et ecran de verrouillage

L'onglet Vault du HUD sert a :

  • voir si le Vault est verrouille
  • ouvrir l'ecran de verrouillage
  • parcourir les entrees disponibles
  • lancer les actions associees

Bonnes pratiques

  • gardez la recovery key separement
  • utilisez une methode principale forte
  • verifiez l'etat du Vault avant un travail sensible
  • verrouillez ou quittez en fin de session
Précédent

Sandbox et isolation d'execution

Security

Suivant

Reference de configuration

Configuration