Справка и руководства ›
Безопасность аккаунта
› Безопасное использование API токенов
Безопасное использование API токенов
3 мин чтения · Безопасность аккаунта
Безопасное использование API-токенов
3 мин чтения
API-токен даёт полный доступ к вашему аккаунту через REST API. Следующие рекомендации снижают риск компрометации.
Token = как пароль
- Никогда не размещайте token в публичных репозиториях (GitHub, GitLab)
- Не вводите token в Discord / Slack / email при отладке
- Token сохраняйте в environment-переменной или secret-менеджере (Vault, AWS SSM, Doppler)
- В CI/CD используйте "masked secret" - логи не должны содержать plain text
Ротация
При каждом из этих событий немедленно отзовите старый token и создайте новый:
- Сотрудник, имевший доступ, уходит
- Видите в API audit log неожиданный request
- Минимум раз в 90 дней ротация как рутинная гигиена
Один token = одно назначение
Не давайте один и тот же token в 5 разных скриптов. Создайте:
plz_ci_deploy- только для GitHub Actions deployplz_terraform- только для Terraform / Pulumiplz_dashboards- для Grafana scraping
Если один утечёт, отзовёте только его - остальные интеграции не затронуты.
Storage best practices
| Окружение | Способ |
|---|---|
| Локальное CLI | ~/.config/epulzio/token с chmod 600 |
| Docker | Docker secret или --env-file (не ENV в Dockerfile) |
| Kubernetes | Объект Secret mounted as env / file |
| GitHub Actions | Settings → Secrets → EPULZIO_TOKEN |
| Cloud Lambda / Functions | AWS SSM Parameter Store, Google Secret Manager |
Token vs Webhook signing secret
Для верификации входящих webhooks используйте HMAC signing secret, а не API token. Детали в Генерация API токена.