Bezpečné používanie API tokenov
API token je kľúč, ktorý dáva plný programový prístup k vášmu účtu cez REST API. Ak unikne, útočník môže robiť to isté čo vy. Nasledujúce odporúčania znižujú riziko, že sa vám to stane.
S tokenom zaobchádzajte ako s heslom
- Nikdy nevkladajte token do verejných repozitárov (GitHub, GitLab).
- Neposielajte token cez Discord, Slack alebo e-mail pri ladení problémov.
- Token uložte do premennej prostredia alebo do správcu tajomstiev (HashiCorp Vault, AWS SSM Parameter Store, Doppler a podobné).
- V CI/CD pipeline (automatizovanom build/deploy systéme) používajte funkciu "masked secret", aby sa token neobjavil v logoch v čitateľnej podobe.
Rotácia tokenov
Pri každej z nasledujúcich situácií starý token okamžite zrušte a vygenerujte nový:
- Zamestnanec, ktorý mal prístup, odchádza.
- V dashboarde uvidíte časovú pečiatku Naposledy použitý pri každom tokene - ak vidíte aktivitu, ktorú ste nečakali, token okamžite zrušte.
- Aspoň raz za 90 dní ako rutinná hygiena, aj keby sa nič nestalo.
Jeden token = jeden účel
Nedávajte ten istý token do piatich rôznych skriptov. Vytvorte si samostatný token pre každú integráciu:
epulzio_xxxxxxxxxxxxxxxx- len pre nasadzovanie cez GitHub Actionsepulzio_xxxxxxxxxxxxxxxx- len pre Terraform alebo Pulumi (nástroje na správu infraštruktúry)epulzio_xxxxxxxxxxxxxxxx- pre Grafana dashboard, ktorý sťahuje metriky
Ak jeden token unikne, zrušíte len ten konkrétny a ostatné integrácie bežia ďalej.
Kam token bezpečne uložiť
| Prostredie | Odporúčaný spôsob |
|---|---|
| Lokálne CLI | Súbor ~/.config/epulzio/token s právami chmod 600 (číta len váš používateľ) |
| Docker | Docker secret alebo --env-file (nie napevno cez ENV v Dockerfile) |
| Kubernetes | Objekt Secret namountovaný ako premenná prostredia alebo súbor |
| GitHub Actions | Settings -> Secrets -> EPULZIO_TOKEN |
| Cloud funkcie (AWS Lambda, GCP Functions) | AWS SSM Parameter Store alebo Google Secret Manager |
Token vs. podpisové tajomstvo pre webhooky
Pre overovanie prichádzajúcich webhookov (oznámení, ktoré vám posielame) používajte samostatné podpisové tajomstvo (HMAC signing secret), nie API token. Sú to dve rôzne veci. Detaily nájdete v článku Vygenerovanie API tokenu.