Ajuda e guias ›
Segurança da conta
› Uso seguro de tokens API
Uso seguro de tokens API
3 min de leitura · Segurança da conta
Uso seguro de API tokens
3 min de leitura
O API token dá acesso total à sua conta via REST API. As recomendações a seguir reduzem o risco de comprometimento.
Token = como senha
- Nunca insira o token em repositórios públicos (GitHub, GitLab)
- Não envie o token em Discord / Slack / email ao fazer debug
- Armazene o token em uma variável de ambiente ou secret manager (Vault, AWS SSM, Doppler)
- Em CI/CD use "masked secret" - os logs não podem conter plain text
Rotação
Em cada um destes eventos, revogue imediatamente o token antigo e crie um novo:
- Funcionário que tinha acesso vai embora
- Você vê no audit log da API um request inesperado
- Pelo menos uma vez a cada 90 dias, rotação como higiene de rotina
Um token = um propósito
Não use o mesmo token em 5 scripts diferentes. Crie:
plz_ci_deploy- apenas para deploy do GitHub Actionsplz_terraform- apenas para Terraform / Pulumiplz_dashboards- para scraping do Grafana
Se um vazar, você revoga só esse - as outras integrações ficam intactas.
Boas práticas de armazenamento
| Ambiente | Forma |
|---|---|
| CLI local | ~/.config/epulzio/token com chmod 600 |
| Docker | Docker secret ou --env-file (não ENV no Dockerfile) |
| Kubernetes | Objeto Secret mounted como env / file |
| GitHub Actions | Settings -> Secrets -> EPULZIO_TOKEN |
| Cloud Lambda / Functions | AWS SSM Parameter Store, Google Secret Manager |
Token vs Webhook signing secret
Para verificar webhooks de entrada, use HMAC signing secret, não API token. Detalhes em Geração de API token.