AGENTS.md — credentials
Назначение уровня
Сервисная граница credentials — единая БД-backed модель доступа к supplier API: system pool (load distribution per supplier) + customer credentials (scoped запрос данных конкретного клиента). Secrets isolation, rotation, status lifecycle.
Содержание
credentials/
├── AGENTS.md # ← вы здесь
└── README.md # назначение, контракты, зависимости
Ключевые концепции уровня
supplier_credentials— единая таблица, полеscope_kind ∈ {system, customer}.- System pool — раздаётся ingestion: round-robin / health-aware / rate-aware стратегии.
- Customer credentials — owner-scope, видимы через cabinet, используются для customer-specific опроса (live tier-0).
CREDENTIALS_MASTER_KEY_V1— envelope-encryption для secret-полей; rotation через secret-revision.- Connector events — RoundTripper middleware пишет audit-trail в
connector_events.
Когда смотреть сюда
- Нужно понять как ingestion получает supplier-доступ.
- Customer hits «недостаточно прав» — посмотреть customer credential status / scope.
- Audit «кто и когда дёргал ETM с этим токеном».
- Добавление нового supplier-connector — нужен entry в
supplier_catalog.
Когда НЕ смотреть сюда
- Сами connector-implementation (HTTP/gRPC clients) →
../ingestion/connectors/. - Customer-facing UI вокруг credentials →
../cabinet/. - Bearer-auth public API keys (≠ supplier credentials!) →
../cabinet/apikeys/.
Связано
../ingestion/— потребитель system pool credentials.../cabinet/— UI/API над customer credentials.- ADR-0041 — credentials migration to PG (P4c-2).