Nápověda a návody ›
Zabezpečení účtu
› Bezpečné používání API tokenů
Bezpečné používání API tokenů
3 min čtení · Zabezpečení účtu
Bezpečné používání API tokenů
3 min čtení
API token dává plný přístup k vašemu účtu přes REST API. Následující doporučení snižují riziko kompromitace.
Token = jako heslo
- Nikdy nevkládejte token do veřejných repozitářů (GitHub, GitLab)
- Nezadávejte token v Discord / Slack / email při debugování
- Token uložte do environment proměnné nebo secret manageru (Vault, AWS SSM, Doppler)
- V CI/CD používejte "masked secret" - logy nesmí obsahovat plain text
Rotace
Při každé z těchto událostí ihned zrušte starý token a vytvořte nový:
- Zaměstnanec, který měl přístup, odchází
- Vidíte v API audit log neočekávaný request
- Alespoň jednou za 90 dní rotace jako rutinní hygiena
Jeden token = jeden účel
Nedávejte ten stejný token do 5 různých skriptů. Vytvořte si:
plz_ci_deploy- jen pro GitHub Actions deployplz_terraform- jen pro Terraform / Pulumiplz_dashboards- pro Grafana scraping
Pokud jeden unikne, zrušíte jen ten - ostatní integrace nedotčené.
Storage best practices
| Prostředí | Způsob |
|---|---|
| Lokální CLI | ~/.config/epulzio/token s chmod 600 |
| Docker | Docker secret nebo --env-file (ne ENV v Dockerfile) |
| Kubernetes | Secret objekt mounted as env / file |
| GitHub Actions | Settings → Secrets → EPULZIO_TOKEN |
| Cloud Lambda / Functions | AWS SSM Parameter Store, Google Secret Manager |
Token vs Webhook signing secret
Pro verifikaci příchozích webhooků používejte HMAC signing secret, ne API token. Detail v Vygenerování API tokenu.