1Password CLI で Claude Code のトークンを複数 Mac に安全に配る

• URL: https://zenn.dev/coa00/articles/1password-cli-claude-code-secrets
• 日付: 2026-06-25
• Tier: Tier 3
• 要旨: 複数の Mac で Claude Code を運用する際、1Password CLI で MCP サーバートークンを一元管理。1Password を秘密のソースに固定し、sync スクリプトで各機へ配布。git 追跡対象は環境変数参照のみにして、平文トークンが散らばるのを防ぎ、ローテーション時も 1Password 更新と全機 sync で完結。

詳細

複数 Mac で Claude Code を運用する際のトークン管理戦略。Notion・Linear・GitHub・Slack 等の MCP サーバートークンを 1Password に集約し、CLI（op item get）で各機に配布。設計原則は秘密の流れを一方向にし、1Password → ~/.config/claude/secrets.env → 環境変数 → .mcp.json 参照という流れを構築。save-to-1password.sh で手元の env 値を 1Password に保存し、sync-claude-secrets.sh で各機が読み出してシェル安全にエスケープして書き出す。jq で JSON パース、umask 177 で secrets.env のパーミッションを 600 に制限。一部フィールド未入力の状態でも sync が成功するフェイルソフト設計で、段階的な移行を可能に。Touch ID 承認・アンエスケープ・ロック再入による失敗など実装時の落とし穴も記載。