Zum Inhalt springen

Zugangsdaten und Secrets

Ihre Apps müssen oft mit externen Systemen sprechen: einem Zahlungsanbieter, einem CRM, einem Analyse-Dienst. Canvas gibt Ihnen einen Ort, um diese Zugangsdaten zu speichern, zu entscheiden welche Apps sie nutzen dürfen, und die eigentlichen Werte vor allen verborgen zu halten, auch vor der KI, die beim Bauen Ihrer Apps hilft.

Im Produkt heißen diese externen Systeme Integrationen. Builder stöbern darin und fragen sie an; eine kleinere Gruppe von Personen (Ihre Secrets-Manager) hält die echten Zugangsdaten und gibt frei, wer Zugriff bekommt.

  • Eine Integration ist ein externes System (Stripe, Salesforce, Ihr ERP) plus die Zugangsdaten-Felder, die es braucht, jedes auf eine Umgebungsvariable abgebildet.
  • Werte sind nur schreibbar. Sobald Sie einen Wert speichern, kann ihn niemand mehr auslesen, weder über die Oberfläche, noch über einen Export, noch die KI. Die Ansicht zeigt nur, ob ein Wert gesetzt ist, nie den Wert selbst. Werte werden verschlüsselt gespeichert.
  • Test- oder Produktionsdaten, immer gekennzeichnet. Jede Integration trägt ein Badge, sodass klar ist, ob eine App Test- oder Echtdaten berührt.
  • Getrennte Test- und Produktions-Zugangsdaten, oder ein gemeinsamer Wert. Sie wählen das pro Integration (mehr dazu unten).
  • Capabilities sind eine Obergrenze. Jede Integration hält fest, was ihr Schlüssel darf (lesen, erstellen, ändern, löschen). Ein Builder kann diese Operationen oder eine Teilmenge erhalten, nie mehr als der Schlüssel selbst erlaubt.

Integrationen zu verwalten erfordert die Secrets-Manager-Berechtigung. Executives und Org Admins haben sie und können sie an eine vertraute Person delegieren. Wie Berechtigungen vergeben werden, steht unter Identität und Zugriff.

Als Secrets-Manager öffnen Sie Integrationen und sehen jede Integration Ihrer Organisation, ihr Daten-Badge und welche vor Buildern verborgen sind.

Die Secrets-Manager-Ansicht: jede Integration der Organisation, mit Test- oder Produktions-Badge und Verwaltungsaktionen.

Geben Sie ihr einen Namen und eine Beschreibung, und sagen Sie der KI, wie sie zu nutzen ist. Der Hinweis „Wie die KI sie nutzen soll” wird dem Builder Agent gezeigt, damit er weiß, wie er die API aufruft. Geheimwerte tragen Sie dort nie ein.

Dann wählen Sie, wie Zugangsdaten auf Umgebungen abgebildet werden:

  • Getrennte Staging- und Produktions-Zugangsdaten (empfohlen). Entwicklung und Staging nutzen den Staging-Wert (Test); nur die Produktion nutzt den Produktionswert. Builder arbeiten beim Bauen mit Testdaten.
  • Ein gemeinsamer Wert für alle Umgebungen. Für Tools ohne Sandbox (zum Beispiel Google Analytics). Beachten Sie: das bedeutet, dass sich Ihre Entwicklungsumgebung mit dem Produktionssystem verbindet, sodass der Builder Agent beim Bauen mit Produktionsdaten arbeitet (der Wert des Zugangs selbst wird dem Agent nie offengelegt). Canvas warnt Sie, wenn Sie das wählen.

Zuletzt halten Sie fest, was der Zugang darf und ob Builder ihn im Katalog finden dürfen.

Das Formular für eine neue Integration: Name, KI-Nutzungshinweis, Umgebungs-Geltungsbereich mit der Warnung zum gemeinsamen Wert, erlaubte Operationen und Katalog-Sichtbarkeit.

Eine Integration hält ein oder mehrere Felder, jedes auf einen Umgebungsvariablen-Namen abgebildet (Großbuchstaben, wie STRIPE_SECRET_KEY). Für jedes Feld setzen Sie einen Wert pro Umgebung. Die Anzeige zeigt gesetzt oder nicht gesetzt, nie den Wert, und das Eingabefeld ersetzt einen Wert nur, es zeigt ihn nie.

Die Detailseite einer Integration: Felder auf Umgebungsvariablen abgebildet, eine Gesetzt-oder-nicht-Anzeige pro Umgebung, und ein nur schreibendes Eingabefeld zum Setzen oder Ersetzen jedes Werts.

Builder öffnen Integrationen und sehen den Katalog der Integrationen, die Sie als sichtbar markiert haben, mit den erlaubten Operationen und dem Test- oder Produktions-Badge jeder Integration. Die Werte sehen sie nie.

Der Builder-Katalog: sichtbare Integrationen mit ihren erlaubten Operationen und dem Daten-Badge, Werte werden nie gezeigt.

Von der Seite einer Integration fragt ein Builder den Zugriff für eine seiner Apps an. Die Anfrage wartet auf die Freigabe durch einen Secrets-Manager.

Die Integrationsdetails für einen Builder, mit einem Button, um den Zugriff für eine seiner Apps anzufragen.

Secrets-Manager prüfen offene Anfragen unter Zugriffsanfragen. Für jede wählen Sie, welche Operationen die App ausführen darf (begrenzt durch das, was der Zugang unterstützt), und geben frei, oder Sie lehnen ab. Die anfragende Person wird so oder so benachrichtigt, und jede Entscheidung wird im Audit-Log festgehalten.

Die Zugriffsanfragen-Inbox: jede offene Anfrage zeigt die Integration, die App, wer angefragt hat, und die freizugebenden Operationen vor dem Genehmigen oder Ablehnen.

Wie Zugangsdaten zu Ihren Apps und zur KI gelangen

Abschnitt betitelt „Wie Zugangsdaten zu Ihren Apps und zur KI gelangen“

Sobald eine Anfrage freigegeben ist, werden die Felder der Integration dieser App als Umgebungsvariablen bereitgestellt, gemäß dem von Ihnen gewählten Geltungsbereich: der Staging-Wert (Test) in Entwicklung und Staging, der Produktionswert nur in der Produktion. Dem Builder Agent wird mitgeteilt, dass die Integration existiert, zusammen mit Ihrem Nutzungshinweis, den Umgebungsvariablen-Namen und den Operationen, die die App ausführen darf, damit er Code gegen die API schreiben kann. Die Werte erhält er nie.

Zugangsdaten-Werte werden verschlüsselt gespeichert und sind grundsätzlich nur schreibbar: keine Ansicht, kein Export und keine API gibt sie je zurück, und sie werden nie an die KI gesendet. Jede Änderung an einer Integration, jeder Wert den Sie setzen und jede Zugriffsentscheidung wird im Audit-Log festgehalten. Wie alles auf Canvas läuft das auf Servern in Deutschland und wird im Einklang mit der DSGVO verarbeitet.