Sichere Nutzung von API-Tokens
Der API-Token ist ein Schlüssel, der vollen programmatischen Zugriff auf Ihr Konto über die REST-API ermöglicht. Wenn er leakt, kann ein Angreifer dasselbe wie Sie tun. Die folgenden Empfehlungen senken das Risiko, dass Ihnen das passiert.
Behandeln Sie den Token wie ein Passwort
- Legen Sie den Token niemals in öffentliche Repositories (GitHub, GitLab).
- Senden Sie den Token nicht über Discord, Slack oder E-Mail beim Debuggen von Problemen.
- Speichern Sie den Token in einer Umgebungsvariable oder in einem Secrets-Manager (HashiCorp Vault, AWS SSM Parameter Store, Doppler und Ähnliches).
- In der CI/CD-Pipeline (automatisiertes Build-/Deploy-System) verwenden Sie die Funktion "masked secret", damit der Token in den Logs nicht in lesbarer Form erscheint.
Rotation von Tokens
In jeder der folgenden Situationen widerrufen Sie den alten Token sofort und generieren einen neuen:
- Ein Mitarbeiter, der Zugriff hatte, verlässt das Unternehmen.
- Im Dashboard sehen Sie bei jedem Token einen Zeitstempel Zuletzt verwendet - wenn Sie eine Aktivität sehen, die Sie nicht erwartet haben, widerrufen Sie den Token sofort.
- Mindestens alle 90 Tage als Routine-Hygiene, auch wenn nichts passiert ist.
Ein Token = ein Zweck
Setzen Sie nicht denselben Token in fünf verschiedene Skripte ein. Erstellen Sie für jede Integration einen separaten Token:
epulzio_xxxxxxxxxxxxxxxx- nur für Deployments über GitHub Actionsepulzio_xxxxxxxxxxxxxxxx- nur für Terraform oder Pulumi (Werkzeuge zur Infrastrukturverwaltung)epulzio_xxxxxxxxxxxxxxxx- für ein Grafana-Dashboard, das Metriken abruft
Wenn ein Token leakt, widerrufen Sie nur den betreffenden, und die anderen Integrationen laufen weiter.
Wo den Token sicher aufbewahren
| Umgebung | Empfohlene Methode |
|---|---|
| Lokales CLI | Datei ~/.config/epulzio/token mit Rechten chmod 600 (liest nur Ihr Benutzer) |
| Docker | Docker Secret oder --env-file (nicht fest verankert über ENV im Dockerfile) |
| Kubernetes | Objekt Secret, eingehängt als Umgebungsvariable oder Datei |
| GitHub Actions | Settings -> Secrets -> EPULZIO_TOKEN |
| Cloud-Funktionen (AWS Lambda, GCP Functions) | AWS SSM Parameter Store oder Google Secret Manager |
Token vs. Signierungsgeheimnis für Webhooks
Zur Verifizierung eingehender Webhooks (Benachrichtigungen, die wir Ihnen senden) verwenden Sie ein separates Signierungsgeheimnis (HMAC signing secret), nicht den API-Token. Es sind zwei verschiedene Dinge. Details finden Sie im Artikel Generierung eines API-Tokens.