Довідка та інструкції ›
Безпека акаунта
› Безпечне використання API токенів
Безпечне використання API токенів
3 хв читання · Безпека акаунта
Безпечне використання API tokens
3 хв читання
API token надає повний доступ до вашого акаунту через REST API. Наступні рекомендації знижують ризик компрометації.
Token = як пароль
- Ніколи не вкладайте token до публічних репозиторіїв (GitHub, GitLab)
- Не надсилайте token в Discord / Slack / email під час налагодження
- Token зберігайте до environment змінної або secret manager (Vault, AWS SSM, Doppler)
- У CI/CD використовуйте "masked secret" - логи не повинні містити plain text
Ротація
При кожній з цих подій негайно скасуйте старий token та створіть новий:
- Співробітник, який мав доступ, йде з компанії
- Бачите в API audit log несподіваний запит
- Щонайменше раз на 90 днів ротація як рутинна гігієна
Один token = одна мета
Не давайте той самий token до 5 різних скриптів. Створіть собі:
plz_ci_deploy- лише для GitHub Actions deployplz_terraform- лише для Terraform / Pulumiplz_dashboards- для Grafana scraping
Якщо один витече, скасуєте лише його - інші інтеграції не зачепить.
Найкращі практики зберігання
| Середовище | Спосіб |
|---|---|
| Локальний CLI | ~/.config/epulzio/token з chmod 600 |
| Docker | Docker secret або --env-file (не ENV в Dockerfile) |
| Kubernetes | Secret об'єкт mounted as env / file |
| GitHub Actions | Settings → Secrets → EPULZIO_TOKEN |
| Cloud Lambda / Functions | AWS SSM Parameter Store, Google Secret Manager |
Token проти Webhook signing secret
Для верифікації вхідних webhooks використовуйте HMAC signing secret, а не API token. Детальніше в Генерація API token.