Secrets Store 说明文档

# Cloudflare 密钥存储 (Secrets Store) 为 Workers 和 AI Gateway 提供账户级加密密钥管理。 ## 概览 **密钥存储 (Secrets Store)**: 集中式、账户级密钥，可在多个 Worker 间复用 **Worker 密钥**: 单个 Worker 专属密钥 (`wrangler secret put`) ### 架构 - **存储 (Store)**: 容器（测试版中每个账户 1 个） - **密钥 (Secret)**: 字符串 ≤1024 字节 - **作用域 (Scopes)**: 控制访问的权限边界 - `workers`: 用于 Workers 运行时访问 - `ai-gateway`: 用于 AI Gateway 访问 - 密钥必须具有正确的作用域才能绑定成功 - **绑定 (Bindings)**: 通过 `env` 对象连接密钥 **区域可用性**: 全球可用，中国大陆网络除外（不可用） ### 访问控制 - **超级管理员**: 完全访问权限 - **管理员**: 创建/编辑/删除密钥，查看元数据 - **部署者**: 查看元数据 + 绑定 - **报告者**: 仅查看元数据 API Token 权限: `Account Secrets Store Edit/Read` ### 限制 (测试版) - 每个账户 100 个密钥 - 每个账户 1 个存储 - 每个密钥最大 1024 字节 - 生产环境密钥计入限制 ## 何时使用 **在以下情况使用密钥存储：** - 多个 Worker 共享同一凭据 - 需要集中式管理 - 合规性要求审计追踪 - 团队协作管理密钥 **在以下情况使用 Worker 密钥：** - 密钥仅供单个 Worker 使用 - 简单的单 Worker 项目 - 无需跨 Worker 共享 ## 本参考文档内容 ### 按任务阅读顺序 | 任务 | 起点 | 进阶阅读 | |------|------------|-----------| | 快速概览 | README.md | - | | 首次设置 | README.md → configuration.md | api.md | | 为 Worker 添加密钥 | configuration.md | api.md | | 实现访问模式 | api.md | patterns.md | | 调试错误 | gotchas.md | api.md | | 密钥轮换 | patterns.md | configuration.md | | 最佳实践 | gotchas.md | patterns.md | ### 文件列表 - [configuration.md](./configuration.md) - Wrangler 命令，绑定配置 - [api.md](./api.md) - 绑定 API，获取/设置/删除操作 - [patterns.md](./patterns.md) - 轮换、加密、访问控制 - [gotchas.md](./gotchas.md) - 安全问题、限制、最佳实践 ## 另请参阅 - [workers](../workers/) - Worker 绑定集成 - [wrangler](../wrangler/) - CLI 密钥管理命令