Aide et guides ›
Sécurité du compte
› Usage sécurisé des tokens API
Usage sécurisé des tokens API
3 min de lecture · Sécurité du compte
Utilisation sécurisée des tokens API
3 min de lecture
Le token API donne un accès complet à votre compte via REST API. Les recommandations suivantes réduisent le risque de compromission.
Token = comme un mot de passe
- Ne mettez jamais le token dans des dépôts publics (GitHub, GitLab)
- Ne saisissez pas le token sur Discord / Slack / email lors du débogage
- Stockez le token dans une variable d'environnement ou un gestionnaire de secrets (Vault, AWS SSM, Doppler)
- Dans le CI/CD, utilisez "masked secret" - les logs ne doivent pas contenir de texte en clair
Rotation
Lors de chacun de ces événements, révoquez immédiatement l'ancien token et créez-en un nouveau :
- Un employé qui avait accès part
- Vous voyez dans le journal d'audit API une requête inattendue
- Au moins une fois tous les 90 jours, rotation comme hygiène de routine
Un token = un usage
Ne mettez pas le même token dans 5 scripts différents. Créez :
plz_ci_deploy- uniquement pour le déploiement GitHub Actionsplz_terraform- uniquement pour Terraform / Pulumiplz_dashboards- pour le scraping Grafana
Si l'un fuit, vous ne révoquez que celui-ci - les autres intégrations restent intactes.
Bonnes pratiques de stockage
| Environnement | Méthode |
|---|---|
| CLI local | ~/.config/epulzio/token avec chmod 600 |
| Docker | Docker secret ou --env-file (pas ENV dans Dockerfile) |
| Kubernetes | Objet Secret monté comme env / fichier |
| GitHub Actions | Settings -> Secrets -> EPULZIO_TOKEN |
| Cloud Lambda / Functions | AWS SSM Parameter Store, Google Secret Manager |
Token vs secret de signature Webhook
Pour vérifier les webhooks entrants, utilisez le secret de signature HMAC, pas le token API. Détails dans Génération du token API.