Configuração do CLI
Entenda como o CriptEnv CLI funciona como terminal remoto, quais dados ficam localmente e como usar variáveis de ambiente em automações.
Terminal Remoto
Os comandos principais operam diretamente no vault remoto do projeto. O CLI baixa blobs criptografados, descriptografa em memória quando necessário, recriptografa no próprio processo e envia apenas ciphertext para a API.
Info
O backend nunca recebe secrets em texto claro e a Vault password do projeto nunca é enviada ao servidor.
Estrutura Local
O diretório ~/.criptenv/ guarda apenas metadata leve e credenciais locais de sessão:
text
~/.criptenv/
├── auth.key # chave local para criptografar tokens de sessão
└── vault.db # SQLite com sessão, projeto atual e metadata| Arquivo | Descrição |
|---|---|
| auth.key | Chave local usada para proteger tokens de sessão da CLI e do CI. |
| vault.db | Banco SQLite com sessão, projeto atual, cache de metadata e tabelas de compatibilidade. |
Info
O fluxo normal do CLI não grava uma cópia local dos secrets. Backups de
~/.criptenv/ ainda devem ser protegidos porque contêm credenciais de sessão.Vault Password
A Vault password pertence ao projeto. Ela deriva as chaves de criptografia client-side e é solicitada apenas quando um comando precisa descriptografar ou alterar secrets.
bash
criptenv get DATABASE_URL -p <project-id>
> Vault password:Info
Para automação, defina
CRIPTENV_VAULT_PASSWORD. O CLI usa essa variável no lugar do prompt interativo.Variáveis de Ambiente
| Variável | Tipo | Descrição |
|---|---|---|
| CRIPTENV_API_URL | string | URL da API. Padrão: https://criptenv-api.77mdevseven.tech |
| CRIPTENV_PROJECT | string | Projeto padrão para comandos que aceitam --project. |
| CRIPTENV_VAULT_PASSWORD | string | Vault password do projeto para uso não interativo. |
bash
export CRIPTENV_PROJECT="<project-id>"
export CRIPTENV_VAULT_PASSWORD="project-vault-password"
criptenv export -e production -o .env.productionInfo
Evite expor
CRIPTENV_VAULT_PASSWORD em logs, shells compartilhados ou históricos persistentes. Em CI, use o mecanismo de secrets do provedor.Info
Use
criptenv doctor para verificar sessão, projeto atual, metadata local e conectividade com a API.