Help en handleidingen ›
Account beveiliging
› Veilig gebruik API tokens
Veilig gebruik API tokens
3 min leestijd · Account beveiliging
Veilig gebruik van API tokens
3 min leestijd
Een API token geeft volledige toegang tot uw account via de REST API. De volgende aanbevelingen verminderen het risico op compromittering.
Token = als een wachtwoord
- Plaats het token nooit in publieke repositories (GitHub, GitLab)
- Verstuur het token niet via Discord / Slack / e-mail tijdens debugging
- Bewaar het token in een environment variable of secret manager (Vault, AWS SSM, Doppler)
- In CI/CD gebruik "masked secret" - logs mogen geen plain text bevatten
Rotatie
Bij elk van deze gebeurtenissen direct het oude token intrekken en een nieuwe aanmaken:
- Een medewerker met toegang vertrekt
- U ziet in de API audit log een onverwacht request
- Tenminste eens per 90 dagen rotatie als routinehygiëne
Eén token = één doel
Geef niet hetzelfde token aan 5 verschillende scripts. Maak liever:
plz_ci_deploy- alleen voor GitHub Actions deployplz_terraform- alleen voor Terraform / Pulumiplz_dashboards- voor Grafana scraping
Als één lekt, trekt u alleen die in - de andere integraties blijven onaangetast.
Storage best practices
| Omgeving | Methode |
|---|---|
| Lokale CLI | ~/.config/epulzio/token met chmod 600 |
| Docker | Docker secret of --env-file (geen ENV in Dockerfile) |
| Kubernetes | Secret object mounted als env / file |
| GitHub Actions | Settings → Secrets → EPULZIO_TOKEN |
| Cloud Lambda / Functions | AWS SSM Parameter Store, Google Secret Manager |
Token vs Webhook signing secret
Gebruik voor verificatie van inkomende webhooks een HMAC signing secret, geen API token. Detail in Een API token genereren.