ADR-005: 1Password + GitHub Actions
Resumo publicável desta decisão arquitetural.
Decisão
Usar 1Password como fonte de secrets, com Service Accounts para CI e 1Password Connect em servidores quando necessário.
Modelo
| Contexto | Mecanismo |
|---|---|
| GitHub Actions | Service Account com escopo por projeto ou compartilhado |
| Servidores/EC2/Docker | 1Password Connect co-localizado |
| Secrets compartilhados | vaults CI-* com acesso controlado |
| Secrets de projeto | Service Account e vault específicos |
Regras
- Não publicar secrets, origins com token ou hostnames sensíveis em docs publicáveis.
- Preferir secrets mínimos por workflow em vez de herdar tudo sem necessidade.
- Revisar rotação de tokens e escopos periodicamente.
Uso
Use esta ADR ao configurar workflows, deploys, Private Satis, Cloudflare, SSH e automações que dependem de credenciais.