Document AI host API access rules
This commit is contained in:
@@ -48,6 +48,10 @@ Zusaetzlich je nach Thema:
|
||||
- Direkte Host-Ports sind nur mit dokumentierter Ausnahme erlaubt.
|
||||
- Komodo bleibt bewusst ohne pauschale zentrale Authelia-ForwardAuth-Middleware.
|
||||
- Secrets gehoeren niemals ins Git-Repository.
|
||||
- Codex/Claude-API-Secrets fuer Komodo/Unraid liegen auf `kallilabcore` unter
|
||||
den in `docs/SECRETS_MAP.md` dokumentierten Pfaden. Werte niemals lesen,
|
||||
ausgeben, loggen oder committen; nur Pfade/Env-Namen verwenden und nur fuer
|
||||
ausdruecklich angeforderte Host-/Live-Checks.
|
||||
- Produktive Container sollen als Compose/Git-Stack verwaltet werden.
|
||||
|
||||
## GitOps-Regeln
|
||||
@@ -80,6 +84,8 @@ Wenn Drift vermutet wird, nicht raten. Erst die Pflichtmatrix in `docs/GITOPS_DR
|
||||
- Secret-Werte niemals ausgeben. Wenn Werte auftauchen: redakten.
|
||||
- Nur Secret-Namen, Env-Key-Namen und Pfade dokumentieren.
|
||||
- Keine produktiven `.env`- oder Stack-Env-Werte zitieren.
|
||||
- Komodo-CLI auf dem Host nur mit xtrace aus und ohne Echo der Env ausfuehren:
|
||||
`set -a; . /mnt/user/appdata/secrets/codex_komodo_api.env; set +a; docker exec -e KOMODO_CLI_HOST -e KOMODO_CLI_KEY -e KOMODO_CLI_SECRET komodo-core km core-info`.
|
||||
- Keine Compose-Aenderung ohne vorherigen Architektur-/Workflow-Abgleich.
|
||||
- Keine Deployments, Host-Hotfixes oder Docker-Schreibbefehle ohne ausdrueckliche Anweisung.
|
||||
- Keine direkten Host-Ports fuer Web-UIs, ausser dokumentierte Ausnahmen.
|
||||
|
||||
Reference in New Issue
Block a user