密钥管理服务：OpenClaw集成KMS凭据管家

步骤一：购买和启用KMS实例

1. 登录密钥管理服务控制台，在顶部菜单栏选择地域后，在左侧导航栏单击资源 > 实例管理。

2. 在实例管理页面单击创建实例，参考如下配置，选择要购买的KMS实例规格，单击立即购买。

   • 密钥管理类型：选择软件密钥管理或硬件密钥管理。

   • 凭据数量：根据业务需求规划，例如100。

3. 购买完成后，返回实例管理页面，在软件密钥管理或硬件密钥管理页面页签，定位到目标KMS软件密钥管理实例，单击操作列的启用。

步骤二：创建KMS凭据

在KMS凭据管家中创建一个凭据，用于存储大模型的API Key。

1. 创建密钥

   1. 在顶部菜单栏选择地域后，在左侧导航栏单击资源 > 密钥管理。

   2. 在密钥管理页面，单击用户主密钥页签，实例ID选择软件密钥管理实例，单击创建密钥。

      • 密钥别名：为密钥设置一个易于识别的别名，例如cmk/openclaw/bailiansk。

      • 密钥类型：选择对称密钥。

   说明

   凭据创建完成后，请记录密钥ARN，在步骤三中创建RAM策略时需要使用，可以在密钥详情页查看这些信息。

2. 创建凭据

   1. 在左侧导航栏单击资源 > 凭据管理

   2. 单击通用凭据页签，选择实例ID后，单击创建凭据，参考如下配置完成各项配置。

      • 凭据名称：输入secret/openclaw/bailiansk。

      • 设置凭据值：粘贴大模型的API Key，例如sk-xxxxxxxxxxxxxxxxxxxxxxxx。若何获取百炼API key，请参见获取API Key。

      • 加密主密钥：上一步创建的密钥cmk/openclaw/bailiansk。

   3. 单击确定。

   说明

   凭据创建完成后，请记录凭据的ARN，在步骤三中创建RAM策略时需要使用，可以在凭据详情页查看这些信息。

步骤三：创建RAM角色并授权

创建一个RAM角色，授予其获取KMS凭据的最小权限，后续将此角色绑定到ECS实例。

1. 创建RAM权限策略。

   1. 使用阿里云账号（主账号）或拥有RAM管理员权限（AliyunRAMFullAccess）的RAM用户登录RAM控制台。

   2. 在左侧导航栏，选择权限管理>权限策略。

   3. 单击创建权限策略，切换到JSON编辑模式，输入以下策略内容。

      {
          "Version": "1",
          "Statement": [
              {
                  "Action": [
                      "kms:GetSecretValue"
                  ],
                  "Resource": "acs:kms:<region>:<uid>:secret/secret/openclaw/bailiansk",/*凭据的ARN*/
                  "Effect": "Allow"
              },
              {
                  "Action": [
                      "kms:Decrypt"
                  ],
                  "Resource": "acs:kms:<region>:<uid>:key/key-hkk69a823******",/*密钥的ARN*/
                  "Effect": "Allow"
              }
          ]
      }

      重要

      凭据的ARN和密钥的ARN，填写步骤二中创建的密钥和凭据详情页获取。

2. 创建RAM角色并绑定权限策略。

   1. 在左侧导航栏，选择身份管理>角色。

   2. 单击创建角色，信任主体类型选择阿里云服务，信任主体名称选择云服务器ECS。

   3. 在权限管理页签，选择上一步创建的权限策略并绑定到该角色。

步骤四：创建ECS实例并绑定RAM角色

1. 购买一台ECS实例，具体操作，请参见一键购买包年包月实例。

2. 为ECS实例绑定步骤三中创建的RAM角色。

   1. 访问ECS控制台-实例。在页面左侧顶部，选择目标资源所在的资源组和地域。

   2. 单击目标ECS实例ID，在实例详情页单击全部操作，选择实例设置 > 授予/收回RAM角色。

   3. 在对话框中，操作类型选择授予，然后选择步骤三创建的RAM角色，单击确定。

步骤五：安装 kmscli 命令

kmscli是一个轻量级命令行工具，基于阿里云SDK默认凭证（此处使用ECS实例RAM角色），从阿里云 KMS 凭据管家动态获取凭据值并输出到标准输出。OpenClaw 启动时将调用此工具来获取敏感的 API Key，从而避免在配置文件中存储明文。

1. 下载二进制文件

   根据 ECS 操作系统架构，下载对应的 kmscli 二进制文件。以下以最常见的 Linux AMD64 架构为例：

   # 在本地机器或直接在 ECS 上执行
   curl -L -o kmscli-linux-amd64 "https://github.com/aliyun/alibabacloud-kms-cli/releases/latest/download/kmscli-linux-amd64"

   说明

   • 如果使用的是 ARM 架构（如倚天实例），请下载 kmscli-linux-arm64。

   • 如果使用的是 macOS，请下载 kmscli-darwin-amd64 或 kmscli-darwin-arm64。

   • 完整版本列表请访问 GitHub Releases。

2. 上传至目标目录

   将下载好的文件移动到配置目录（如 /usr/bin/），并重命名为 kmscli。

   • 本地下载后上传：

     # 在本地终端执行（请替换 user 和 ecs-ip）
     scp kmscli-linux-amd64 user@<ecs-ip>:/usr/bin/kmscli

   • 在 ECS 上下载：

     # 在 ECS 终端执行
     mv kmscli-linux-amd64 /usr/bin/kmscli

3. 赋予执行权限

   # 登录 ECS 后执行
   sudo chown $(id -u):$(id -g) /usr/bin/kmscli
   chmod +x /usr/bin/kmscli

4. 验证权限

   执行以下命令确认文件已就位且具备执行权限：

   ls -l /usr/bin/kmscli
   # 预期输出应包含 "-rwxr-xr-x" 权限标识，例如：-rwxr-xr-x 1 admin admin ... kmscli

步骤六：在ECS上部署OpenClaw并修改配置

1. 按照OpenClaw官方文档或OpenClaw部署流程完成部署。

2. 部署完成后，修改OpenClaw配置文件，将明文API Key替换为KMS凭据引用。

   1. 进入OpenClaw安装目录，备份原配置文件。

      cp openclaw.json openclaw.json.bak

   2. 编辑openclaw.json，添加secrets配置，并将apiKey字段的明文值替换为Secret引用。完整配置参考如下。

      {
        "meta": {
          "lastTouchedVersion": "2026.2.1",
          "lastTouchedAt": "2026-02-03T08:20:00.000Z"
        },
        "secrets": {
          "providers": {
            "kms_bailian": {
              "source": "exec",
              "command": "/usr/bin/kmscli",
              "args": [
                "get",
                "secret/openclaw/bailiansk"
              ],
              "jsonOnly": false
            }
          }
        },
        "models": {
          "mode": "merge",
          "providers": {
            "bailian": {
              "baseUrl": "https://dashscope.aliyuncs.com/compatible-mode/v1",
              "apiKey": {
                "source": "exec",
                "provider": "kms_bailian",
                "id": "value"
              },
              "api": "openai-completions",
              "models": [
                {
                  "id": "qwen3-max-2026-01-23",
                  "name": "qwen3-max-2026-01-23",
                  "reasoning": false,
                  "input": [
                    "text"
                  ],
                  "contextWindow": 262144,
                  "maxTokens": 65536
                },
                {
                  "id": "qwen3-coder-plus",
                  "name": "qwen3-coder-plus",
                  "reasoning": false,
                  "input": [
                    "text"
                  ],
                  "contextWindow": 131072,
                  "maxTokens": 32768
                }
              ]
            }
          }
        },
        "agents": {
          "defaults": {
            "model": {
              "primary": "bailian/qwen3-max-2026-01-23"
            }
          }
        },
        "gateway": {
          "mode": "local",
          "auth": {
            "mode": "token",
            "token": "test123"
          }
        }
      }

      关键配置说明：

      配置路径	字段	说明
      secrets.providers.kms_bailian	source	固定为 exec，表示通过执行外部命令获取凭据。
      	command	kmscli 工具的绝对路径。请务必根据步骤五中的实际部署路径填写（例如 /home/admin/.openclaw/kmscli）。
      	args	固定参数 ["openclaw", "getsecret"]，指示工具以 OpenClaw 兼容模式运行。
      	jsonOnly	设置为 true，要求工具输出标准 JSON 格式供 OpenClaw 解析。
      models.providers.bailian.apiKey	source	固定为 exec，启用动态获取模式。
      	provider	提供者名称，必须与上方定义的 key (kms_bailian) 一致。
      	id	KMS 凭据名称。填入您在阿里云 KMS 控制台创建的凭据全称（例如 secret/openclaw/bailiansk）。

3. 配置审计和重新加载secrets配置。

   # 审计配置
   openclaw secrets audit --check
   # 重新加载配置
   openclaw secrets reload