Yardım ve kılavuzlar ›
Hesap güvenliği
› API token güvenli kullanım
API token güvenli kullanım
3 dk okuma · Hesap güvenliği
API token'larının güvenli kullanımı
3 dk okuma
API token, REST API üzerinden hesabınıza tam erişim sağlar. Aşağıdaki öneriler ele geçirilme riskini azaltır.
Token = parola gibi
- Token'ı asla genel depolara (GitHub, GitLab) eklemeyin
- Hata ayıklarken Discord / Slack / e-posta'da token paylaşmayın
- Token'ı bir ortam değişkeninde veya gizli anahtar yöneticisinde (Vault, AWS SSM, Doppler) saklayın
- CI/CD'de "masked secret" kullanın - günlükler düz metin içermemelidir
Rotasyon
Bu olaylardan herhangi birinde eski token'ı hemen iptal edin ve yenisini oluşturun:
- Erişimi olan bir çalışan ayrılıyor
- API denetim günlüğünde beklenmedik bir istek görüyorsunuz
- Rutin hijyen olarak en az 90 günde bir rotasyon
Bir token = bir amaç
Aynı token'ı 5 farklı komut dosyasına koymayın. Oluşturun:
plz_ci_deploy- yalnızca GitHub Actions deploy içinplz_terraform- yalnızca Terraform / Pulumi içinplz_dashboards- Grafana scraping için
Biri sızarsa, yalnızca onu iptal edersiniz - diğer entegrasyonlar etkilenmez.
Saklama en iyi uygulamaları
| Ortam | Yöntem |
|---|---|
| Yerel CLI | ~/.config/epulzio/token chmod 600 ile |
| Docker | Docker secret veya --env-file (Dockerfile'da ENV değil) |
| Kubernetes | Secret nesnesi env / dosya olarak mount |
| GitHub Actions | Settings → Secrets → EPULZIO_TOKEN |
| Cloud Lambda / Functions | AWS SSM Parameter Store, Google Secret Manager |
Token ve Webhook imzalama gizli anahtarı
Gelen webhook'ları doğrulamak için API token değil, HMAC signing secret kullanın. Detay API token oluşturma.