Pomoc a návody ›
Bezpečnosť účtu
› Bezpečné používanie API tokenov
Bezpečné používanie API tokenov
3 min čítania · Bezpečnosť účtu
Bezpečné používanie API tokenov
3 min čítania
API token dáva plný prístup k vašemu účtu cez REST API. Nasledujúce odporúčania znižujú riziko kompromitácie.
Token = ako heslo
- Nikdy nevkladajte token do verejných repozitárov (GitHub, GitLab)
- Nezadávajte token v Discord / Slack / email pri debugovaní
- Token uložte do environment premennej alebo secret managera (Vault, AWS SSM, Doppler)
- V CI/CD používajte "masked secret" - logy nesmú obsahovať plain text
Rotácia
Pri každom z týchto event-ov ihneď zrušte starý token a vytvorte nový:
- Zamestnanec, ktorý mal prístup, odchádza
- Vidíte v API audit log neočakávaný request
- Aspoň raz za 90 dní rotácia ako rutinná hygiena
Jeden token = jeden účel
Nedávajte ten istý token do 5 rôznych skriptov. Vytvorte si:
plz_ci_deploy- len pre GitHub Actions deployplz_terraform- len pre Terraform / Pulumiplz_dashboards- pre Grafana scraping
Ak jeden uniknie, zrušíte len ten - ostatné integrácie nedotknuté.
Storage best practices
| Prostredie | Spôsob |
|---|---|
| Lokálne CLI | ~/.config/epulzio/token s chmod 600 |
| Docker | Docker secret alebo --env-file (nie ENV v Dockerfile) |
| Kubernetes | Secret objekt mounted as env / file |
| GitHub Actions | Settings → Secrets → EPULZIO_TOKEN |
| Cloud Lambda / Functions | AWS SSM Parameter Store, Google Secret Manager |
Token vs Webhook signing secret
Pre verifikáciu prichádzajúcich webhookov používajte HMAC signing secret, nie API token. Detail v Vygenerovanie API tokenu.