Hilfe & AnleitungenKonto-Sicherheit › Sichere Nutzung von API-Tokens

Sichere Nutzung von API-Tokens

3 Min. Lesezeit · Konto-Sicherheit

Der API-Token ist ein Schlüssel, der vollen programmatischen Zugriff auf Ihr Konto über die REST-API ermöglicht. Wenn er leakt, kann ein Angreifer dasselbe wie Sie tun. Die folgenden Empfehlungen senken das Risiko, dass Ihnen das passiert.

Behandeln Sie den Token wie ein Passwort

  • Legen Sie den Token niemals in öffentliche Repositories (GitHub, GitLab).
  • Senden Sie den Token nicht über Discord, Slack oder E-Mail beim Debuggen von Problemen.
  • Speichern Sie den Token in einer Umgebungsvariable oder in einem Secrets-Manager (HashiCorp Vault, AWS SSM Parameter Store, Doppler und Ähnliches).
  • In der CI/CD-Pipeline (automatisiertes Build-/Deploy-System) verwenden Sie die Funktion "masked secret", damit der Token in den Logs nicht in lesbarer Form erscheint.
Liste der API-Tokens mit dem Zeitpunkt der letzten Verwendung
Bei jedem Token sehen Sie den Zeitpunkt der letzten Verwendung - eine Hilfe bei der Rotation und beim Aufspüren unerwarteter Aktivität.

Rotation von Tokens

In jeder der folgenden Situationen widerrufen Sie den alten Token sofort und generieren einen neuen:

  • Ein Mitarbeiter, der Zugriff hatte, verlässt das Unternehmen.
  • Im Dashboard sehen Sie bei jedem Token einen Zeitstempel Zuletzt verwendet - wenn Sie eine Aktivität sehen, die Sie nicht erwartet haben, widerrufen Sie den Token sofort.
  • Mindestens alle 90 Tage als Routine-Hygiene, auch wenn nichts passiert ist.

Ein Token = ein Zweck

Setzen Sie nicht denselben Token in fünf verschiedene Skripte ein. Erstellen Sie für jede Integration einen separaten Token:

  • epulzio_xxxxxxxxxxxxxxxx - nur für Deployments über GitHub Actions
  • epulzio_xxxxxxxxxxxxxxxx - nur für Terraform oder Pulumi (Werkzeuge zur Infrastrukturverwaltung)
  • epulzio_xxxxxxxxxxxxxxxx - für ein Grafana-Dashboard, das Metriken abruft

Wenn ein Token leakt, widerrufen Sie nur den betreffenden, und die anderen Integrationen laufen weiter.

Wo den Token sicher aufbewahren

UmgebungEmpfohlene Methode
Lokales CLIDatei ~/.config/epulzio/token mit Rechten chmod 600 (liest nur Ihr Benutzer)
DockerDocker Secret oder --env-file (nicht fest verankert über ENV im Dockerfile)
KubernetesObjekt Secret, eingehängt als Umgebungsvariable oder Datei
GitHub ActionsSettings -> Secrets -> EPULZIO_TOKEN
Cloud-Funktionen (AWS Lambda, GCP Functions)AWS SSM Parameter Store oder Google Secret Manager

Token vs. Signierungsgeheimnis für Webhooks

Zur Verifizierung eingehender Webhooks (Benachrichtigungen, die wir Ihnen senden) verwenden Sie ein separates Signierungsgeheimnis (HMAC signing secret), nicht den API-Token. Es sind zwei verschiedene Dinge. Details finden Sie im Artikel Generierung eines API-Tokens.

War diese Anleitung hilfreich?