证据治理
用签名、审计链、归档恢复和 retention 证明操作记录可信。
内容经过人工双语校对
opsctl 将运行日志与可验证证据区分开来。审计链记录动作顺序;签名 checkpoint 绑定链头;归档演练证明证据在仓库中可以被恢复和重新验证。
创建证据密钥
opsctl registry drift cleanup-request evidence-keygen \
--key-id <key-id> --execute --json密钥不会自动生成或轮换。私钥必须由操作员控制,公钥需要登记信任有效期。
签署与验证
opsctl registry drift cleanup-request audit-checkpoint \
--key-id <key-id> --execute --json
opsctl registry drift cleanup-request evidence-verify-all --json生产建议至少有两把独立可信密钥,并分别创建 checkpoint。撤销密钥不会删除历史公钥材料。
归档演练
证据归档的完整链路是:
- 签署 manifest。
- 导出 create-new audit bundle。
- 单独签署 bundle。
- 写入受控 Restic/rustic 仓库。
- 恢复到隔离目录,验证 bundle 与 detached signature。
- 删除 staging,并记录 drill 结果。
Retention attestation
签名不等于不可变
opsctl 可以验证 operator-signed retention attestation,但对象存储的 Object Lock/WORM 必须由外部系统真正实施并独立确认。
有效 attestation 需要:准确仓库、近期观察时间、未来 retain-until、Object Lock 已启用、独立验证,以及两个不同 reviewer。缺少任何条件都保持 blocked。
MCP 边界
MCP 只提供只读查询与 dry-run 工具。签名、信任、归档写入和 retention import 不会通过 MCP 自动执行。