Pomoc a návodyBezpečnosť účtu › Bezpečné používanie API tokenov

Bezpečné používanie API tokenov

3 min čítania · Bezpečnosť účtu

API token je kľúč, ktorý dáva plný programový prístup k vášmu účtu cez REST API. Ak unikne, útočník môže robiť to isté čo vy. Nasledujúce odporúčania znižujú riziko, že sa vám to stane.

S tokenom zaobchádzajte ako s heslom

  • Nikdy nevkladajte token do verejných repozitárov (GitHub, GitLab).
  • Neposielajte token cez Discord, Slack alebo e-mail pri ladení problémov.
  • Token uložte do premennej prostredia alebo do správcu tajomstiev (HashiCorp Vault, AWS SSM Parameter Store, Doppler a podobné).
  • V CI/CD pipeline (automatizovanom build/deploy systéme) používajte funkciu "masked secret", aby sa token neobjavil v logoch v čitateľnej podobe.
Zoznam API tokenov s časom posledného použitia
Pri každom tokene vidíte čas posledného použitia - pomôcka pri rotácii a odhalení neočakávanej aktivity.

Rotácia tokenov

Pri každej z nasledujúcich situácií starý token okamžite zrušte a vygenerujte nový:

  • Zamestnanec, ktorý mal prístup, odchádza.
  • V dashboarde uvidíte časovú pečiatku Naposledy použitý pri každom tokene - ak vidíte aktivitu, ktorú ste nečakali, token okamžite zrušte.
  • Aspoň raz za 90 dní ako rutinná hygiena, aj keby sa nič nestalo.

Jeden token = jeden účel

Nedávajte ten istý token do piatich rôznych skriptov. Vytvorte si samostatný token pre každú integráciu:

  • epulzio_xxxxxxxxxxxxxxxx - len pre nasadzovanie cez GitHub Actions
  • epulzio_xxxxxxxxxxxxxxxx - len pre Terraform alebo Pulumi (nástroje na správu infraštruktúry)
  • epulzio_xxxxxxxxxxxxxxxx - pre Grafana dashboard, ktorý sťahuje metriky

Ak jeden token unikne, zrušíte len ten konkrétny a ostatné integrácie bežia ďalej.

Kam token bezpečne uložiť

ProstredieOdporúčaný spôsob
Lokálne CLISúbor ~/.config/epulzio/token s právami chmod 600 (číta len váš používateľ)
DockerDocker secret alebo --env-file (nie napevno cez ENV v Dockerfile)
KubernetesObjekt Secret namountovaný ako premenná prostredia alebo súbor
GitHub ActionsSettings -> Secrets -> EPULZIO_TOKEN
Cloud funkcie (AWS Lambda, GCP Functions)AWS SSM Parameter Store alebo Google Secret Manager

Token vs. podpisové tajomstvo pre webhooky

Pre overovanie prichádzajúcich webhookov (oznámení, ktoré vám posielame) používajte samostatné podpisové tajomstvo (HMAC signing secret), nie API token. Sú to dve rôzne veci. Detaily nájdete v článku Vygenerovanie API tokenu.

Bol tento návod užitočný?