Hilfe und Anleitungen ›
Konto-Sicherheit
› Sichere Nutzung von API-Tokens
Sichere Nutzung von API-Tokens
3 Min. Lesezeit · Konto-Sicherheit
Sichere Verwendung von API-Tokens
3 Min. Lesezeit
Ein API-Token gewährt vollen Zugriff auf Ihr Konto über die REST API. Die folgenden Empfehlungen reduzieren das Risiko einer Kompromittierung.
Token = wie ein Passwort
- Legen Sie das Token niemals in öffentliche Repositories (GitHub, GitLab) ab
- Geben Sie das Token nicht in Discord / Slack / E-Mail beim Debuggen ein
- Speichern Sie das Token in einer Umgebungsvariablen oder einem Secret Manager (Vault, AWS SSM, Doppler)
- Verwenden Sie in CI/CD "Masked Secret" - Logs dürfen keinen Klartext enthalten
Rotation
Bei jedem dieser Ereignisse das alte Token sofort widerrufen und ein neues erstellen:
- Ein Mitarbeiter, der Zugriff hatte, verlässt das Unternehmen
- Sie sehen im API-Audit-Log eine unerwartete Anfrage
- Mindestens alle 90 Tage Rotation als Routine-Hygiene
Ein Token = ein Zweck
Geben Sie nicht dasselbe Token in 5 verschiedene Skripte. Erstellen Sie:
plz_ci_deploy- nur für GitHub Actions Deployplz_terraform- nur für Terraform / Pulumiplz_dashboards- für Grafana-Scraping
Wenn eines kompromittiert wird, widerrufen Sie nur dieses - die anderen Integrationen bleiben unberührt.
Storage Best Practices
| Umgebung | Methode |
|---|---|
| Lokales CLI | ~/.config/epulzio/token mit chmod 600 |
| Docker | Docker Secret oder --env-file (nicht ENV in Dockerfile) |
| Kubernetes | Secret-Objekt gemountet als env / file |
| GitHub Actions | Settings -> Secrets -> EPULZIO_TOKEN |
| Cloud Lambda / Functions | AWS SSM Parameter Store, Google Secret Manager |
Token vs. Webhook Signing Secret
Zur Verifizierung eingehender Webhooks verwenden Sie das HMAC Signing Secret, nicht das API-Token. Details unter Generierung des API-Tokens.