Secret Rotation

https://docs.axelabs.ai/ops/runbook/secret-rotation 따라 [secret name] 회전 진행해줘.

진행:
1. 회전 대상 secret + provider 식별 (Azure / Meta / Naver / GitHub / Anthropic / 기타)
2. Azure 면 az cli 6 단계 분기, 그 외면 `axe secret rotate <ENV_NAME>` interactive 분기
3. 페이지의 각 step 명령 실행 + 검증, 매 step 결과 받고 다음. 특히 OLD secret revoke 직전 사용자 확인 (NEW secret 무중단 swap + production 검증 통과 후)
4. 함정 발생 시 페이지 본문 따라 우회 (App Owner 부재 / external portal 수동 / `unset NEW` shell history 정리 / merge-mode pull 누락)
5. 회전 완료 + production health 검증 + (선택) /ops/updates Ship Log 한 줄

APP_ID=137fc0ef-eb9f-4903-acbc-1a748add349c   # frame_mcp (예시)
OLD_KEY_ID=$(az ad app credential list --id $APP_ID \
  --query "[?starts_with(hint,'<old prefix>')].keyId | [0]" -o tsv)
 
# 1. Azure 새 secret 추가 — --append 가 OLD 유지 = overlap window
NEW=$(az ad app credential reset --id $APP_ID \
  --display-name "auto-rotated 2026-MM-DD" --years 2 --append \
  --query password -o tsv)
 
# 2. vault PUT
axe secret push AZURE_FRAME_MCP_CLIENT_SECRET --service frame --value "$NEW"
 
# 3. pull (merge-mode — config 보존)
axe secret pull frame
 
# 4. 무중단 swap
axe deploy frame axe --apply          # frame / hive
axe blueprint upgrade axe --apply     # blueprint
 
# 5. 검증
docker exec $(active container) env | grep AZURE_FRAME_MCP_CLIENT_SECRET
/usr/bin/curl -sI https://axe.axelabs.ai/frame/health   # 200
 
# 6. OLD revoke (검증 후)
az ad app credential delete --id $APP_ID --key-id $OLD_KEY_ID
 
unset NEW                              # shell history 에서 제거

az ad app owner list --id $APP_ID --query "[].userPrincipalName" -o tsv
# 비어 있으면 → portal 에서 owner 추가 후 재시도:
#   open "https://portal.azure.com/#view/Microsoft_AAD_RegisteredApps/ApplicationMenuBlade/~/Owners/appId/$APP_ID"

axe secret rotate <ENV_NAME> --service <svc>

# 운영자 콘솔 (admin.axelabs.ai) 에 secret 만료일 표시 — `axe console rebuild` 가 매시 갱신
# 또는 Vault 에 보관된 메타에서 직접 확인:
bw get item "Frame MCP — claude.ai connector secret"  # 만료일 필드 확인

axe customer:
  blueprint:    expires 2026-08-15 (89 days)
  vaultwarden:  expires 2026-09-01 (106 days)
  frame_mcp:    expires 2028-05-19 (730 days)

제목: [AXE Labs] Frame MCP client_secret 갱신 요청 (만료 30일 전)

안녕하세요,

귀사 Microsoft Entra ID 의 'Frame MCP' app 의 client_secret 이 
30일 후 만료됩니다 (2028-05-19).

다음 절차로 새 secret 발급 + 안전 채널로 전달 부탁드립니다:

1. Azure portal → Microsoft Entra ID → App registrations → 'Frame MCP'
2. Certificates & secrets → + New client secret
3. Description: frame-mcp-axe-2028-05
4. Expires: 24 months
5. Add → VALUE 즉시 복사
6. Bitwarden Send (view-once, `-a 1 -d 1`) 또는 안전 채널로 운영자에게 전달 — 절차: [/architecture/secrets § 사람에게 전달](/architecture/secrets#사람에게-전달--bitwarden-send)

운영자 측 swap 완료 후 기존 secret 은 안전하게 폐기됩니다.

감사합니다.
액스코퍼레이션 주식회사 (운영 주체, [email protected])

# Keychain push (replace 기존)
security add-generic-password -a axe -s "axe.axe.frame.client_secret" -w '<new_value>' -U
 
# Verify
security find-generic-password -s "axe.axe.frame.client_secret" -w
# → <new_value> 출력되면 OK

cd /Users/axe/frame
set -a && source .env.local && set +a
docker compose up -d --force-recreate frame-mcp-blue frame-mcp-green
sleep 5
 
# Verify env 적용
docker exec frame-mcp-blue env | grep AZURE_FRAME_MCP_CLIENT_SECRET | head -c 30
# → 새 값의 prefix 보이면 OK

# customer IT 에게:
"기존 client_secret (<처음 4글자만 hint, 예: XX.X~ 처럼 식별 가능한 prefix>)
 Azure portal 에서 삭제 부탁드립니다.
 새 secret 으로 swap 완료 + 24시간 검증 완료했습니다."

# customers.yaml 메타 업데이트 (선택)
# sso.apps.frame_mcp.client_secret_env 의 만료일 주석 갱신
 
# Audit (TODO: `axe secret status` 추가 후)
# 현재는 Vault item 의 만료 메타 갱신 + 운영자 콘솔 dashboard 확인