Pomoc i poradniki ›
Bezpieczeństwo konta
› Bezpieczne używanie tokenów API
Bezpieczne używanie tokenów API
3 min czytania · Bezpieczeństwo konta
Bezpieczne używanie tokenów API
3 min czytania
Token API daje pełny dostęp do Twojego konta przez REST API. Poniższe zalecenia obniżają ryzyko kompromitacji.
Token = jak hasło
- Nigdy nie wklejaj tokenu do publicznych repozytoriów (GitHub, GitLab)
- Nie podawaj tokenu na Discord / Slack / email przy debugowaniu
- Token przechowuj w zmiennej środowiskowej lub secret managerze (Vault, AWS SSM, Doppler)
- W CI/CD używaj "masked secret" - logi nie mogą zawierać plain text
Rotacja
Przy każdym z poniższych zdarzeń natychmiast unieważnij stary token i utwórz nowy:
- Pracownik, który miał dostęp, odchodzi
- W audit logu API widzisz nieoczekiwany request
- Co najmniej raz na 90 dni rotacja jako rutynowa higiena
Jeden token = jeden cel
Nie dawaj tego samego tokenu do 5 różnych skryptów. Utwórz sobie:
plz_ci_deploy- tylko dla GitHub Actions deployplz_terraform- tylko dla Terraform / Pulumiplz_dashboards- dla scrapingu Grafany
Jeśli jeden wycieknie, unieważnisz tylko ten - pozostałe integracje pozostają nietknięte.
Storage best practices
| Środowisko | Sposób |
|---|---|
| Lokalny CLI | ~/.config/epulzio/token z chmod 600 |
| Docker | Docker secret lub --env-file (nie ENV w Dockerfile) |
| Kubernetes | Obiekt Secret mounted as env / file |
| GitHub Actions | Settings → Secrets → EPULZIO_TOKEN |
| Cloud Lambda / Functions | AWS SSM Parameter Store, Google Secret Manager |
Token vs Webhook signing secret
Do weryfikacji przychodzących webhooków używaj HMAC signing secret, a nie tokenu API. Szczegóły w Wygenerowanie tokenu API.