Guida e tutorial ›
Sicurezza account
› Uso sicuro dei token API
Uso sicuro dei token API
3 min di lettura · Sicurezza account
Uso sicuro dei token API
3 min di lettura
Il token API dà pieno accesso al tuo account tramite la REST API. Le raccomandazioni seguenti riducono il rischio di compromissione.
Token = come una password
- Non inserire mai il token in repository pubblici (GitHub, GitLab)
- Non inserire il token in Discord / Slack / email durante il debug
- Salva il token in una variabile d'ambiente o in un secret manager (Vault, AWS SSM, Doppler)
- Nella CI/CD usa il "masked secret" - i log non devono contenere il plain text
Rotazione
A ognuno di questi eventi revoca immediatamente il vecchio token e creane uno nuovo:
- Un dipendente che aveva l'accesso se ne va
- Vedi nell'audit log API una richiesta inattesa
- Almeno una rotazione ogni 90 giorni come routine di igiene
Un token = uno scopo
Non mettere lo stesso token in 5 script diversi. Crea:
plz_ci_deploy- solo per il deploy con GitHub Actionsplz_terraform- solo per Terraform / Pulumiplz_dashboards- per lo scraping di Grafana
Se uno trapela, revochi solo quello - le altre integrazioni restano intatte.
Storage best practices
| Ambiente | Metodo |
|---|---|
| CLI locale | ~/.config/epulzio/token con chmod 600 |
| Docker | Docker secret oppure --env-file (non ENV nel Dockerfile) |
| Kubernetes | Oggetto Secret montato come env / file |
| GitHub Actions | Settings -> Secrets -> EPULZIO_TOKEN |
| Cloud Lambda / Functions | AWS SSM Parameter Store, Google Secret Manager |
Token vs secret di firma del webhook
Per verificare i webhook in arrivo usa un HMAC signing secret, non il token API. Dettagli in Generazione del token API.