feat: initialize ansible-vault secret repository

2026-04-13 15:49:48 +08:00
commit 5c46775124
5 changed files with 192 additions and 0 deletions
--- a/docs/secret-vault.md
+++ b/docs/secret-vault.md
@@ -0,0 +1,55 @@
+# Secret Vault
+
+這個 repo 使用 `ansible-vault` 來保存開發過程中需要的機密資訊。
+
+## 設計
+- 加密檔：`secrets/vault.yml`
+- 本機 vault password file：`~/.config/continuous-ai-workflow-spec/vault-pass.txt`
+- 管理腳本：`scripts/vault.sh`
+
+## 原則
+- 加密後的 `secrets/vault.yml` 可以進 git
+- `vault-pass.txt` 只放在本機，不進 git
+- 解密後的暫存 plaintext 檔不要提交
+
+## 常用指令
+初始化：
+```bash
+./scripts/vault.sh init
+```
+
+檢視：
+```bash
+./scripts/vault.sh view
+```
+
+編輯：
+```bash
+./scripts/vault.sh edit
+```
+
+把一份 plaintext YAML 加密成 vault：
+```bash
+./scripts/vault.sh encrypt /tmp/my-secrets.yml
+```
+
+解密到暫存檔：
+```bash
+./scripts/vault.sh decrypt /tmp/vault.yml
+```
+
+重置 vault key：
+```bash
+./scripts/vault.sh rekey
+```
+
+## 建議格式
+```yaml
+gitea:
+  base_url: https://gitea.cowbay.org
+  ssh_url_template: ssh://git@gitea.cowbay.org:2203/{owner}/{repo}.git
+  account: hermes
+  email: hermes@ntu.edu.rs
+  password: ...
+  api_token: ...
+```