Ayuda y guías ›
Seguridad de cuenta
› Uso seguro de tokens API
Uso seguro de tokens API
3 min de lectura · Seguridad de cuenta
Uso seguro de tokens de API
3 min de lectura
El token de API ofrece acceso completo a su cuenta mediante REST API. Las siguientes recomendaciones reducen el riesgo de compromiso.
Token = como una contraseña
- Nunca incluya el token en repositorios públicos (GitHub, GitLab)
- No comparta el token en Discord / Slack / correo al depurar
- Guarde el token en una variable de entorno o en un secret manager (Vault, AWS SSM, Doppler)
- En CI/CD use "masked secret": los logs no deben contener texto plano
Rotación
En cada uno de estos eventos cancele de inmediato el token antiguo y cree uno nuevo:
- Un empleado que tenía acceso se marcha
- Ve en el log de auditoría de API un request inesperado
- Al menos cada 90 días como higiene rutinaria
Un token = un propósito
No use el mismo token en 5 scripts distintos. Cree:
plz_ci_deploy- solo para deploy de GitHub Actionsplz_terraform- solo para Terraform / Pulumiplz_dashboards- para el scraping de Grafana
Si uno se filtra, solo cancelará ese; las demás integraciones quedan intactas.
Buenas prácticas de almacenamiento
| Entorno | Método |
|---|---|
| CLI local | ~/.config/epulzio/token con chmod 600 |
| Docker | Docker secret o --env-file (no ENV en Dockerfile) |
| Kubernetes | Objeto Secret montado como env / archivo |
| GitHub Actions | Settings → Secrets → EPULZIO_TOKEN |
| Cloud Lambda / Functions | AWS SSM Parameter Store, Google Secret Manager |
Token vs secreto de firma de webhook
Para verificar webhooks entrantes use HMAC signing secret, no el token de API. Detalles en Generación del token de API.