GitLab 토큰 개요

다양한 인증 토큰과 그 보안적 함의를 이해합니다.

보안 고려 사항

CI/CD의 토큰

개인 액세스 토큰

OAuth 2.0 토큰

가장 토큰

프로젝트 액세스 토큰

그룹 액세스 토큰

배포 토큰

배포 키

러너 인증 토큰

러너 등록 토큰 (레거시)

CI/CD 작업 토큰

GitLab 클러스터 에이전트 토큰

Find token ID

Find agent ID

Find project ID

Revoke token with RevokeService, including generating an audit event

Revoke token manually, which does not generate an audit event

기타 토큰

피드 토큰

수신 이메일 토큰

작업 공간 토큰

사용 가능한 범위

토큰 접두사

이 문서는 GitLab에서 사용되는 토큰, 그 목적 및 해당되는 경우 보안 지침을 나열합니다. 보안 고려 사항 # 토큰을 안전하게 유지하려면: 토큰을 비밀번호처럼 취급하고 안전하게 보관하세요. 범위가 지정된 토큰을 만들 때 실수로 누출된 토큰의 영향을 줄이기 위해 가능한 가장 제한적인 범위를 사용하세요. 별도의 프로세스가 다른 범위를 필요로 하는 경우(예: read 및 write ), 각 범위에 대해 별도의 토큰을 사용하는 것을 고려하세요. 하나의 토큰이 유출되면 전체 API 액세스와 같은 넓은 범위를 가진 단일 토큰보다 적은 액세스를 제공합니다. 토큰을 만들 때: 토큰을 설명하는 이름을 선택하세요. 예: GITLAB_API_TOKEN-application1 또는 GITLAB_READ_API_TOKEN-application2 . GITLAB_API_TOKEN , API_TOKEN 또는 default 와 같은 일반적인 이름을 피하세요. 작업이 완료되면 만료되는 토큰을 설정하는 것을 고려하세요. 예를 들어 일회성 가져오기를 수행해야 하는 경우 토큰이 몇 시간 후에 만료되도록 설정하세요. 관련 URL을 포함한 추가 컨텍스트를 제공하는 설명을 추가하세요. URL 대신 헤더를 통해 토큰을 전달하세요: 개인, 프로젝트 및 그룹 액세스 토큰에는 PRIVATE-TOKEN 을 사용하세요. 작업 토큰에는 JOB-TOKEN 을 사용하세요. 데모 환경이 있는 경우 프로젝트에 대한 비디오를 녹화하거나 블로그 게시물을 게시한 후 모든 토큰을 취소하세요. Git 자격 증명 저장소 를 사용하여 토큰을 저장할 수 있습니다. 모든 유형의 모든 활성 액세스 토큰을 정기적으로 검토하고 필요하지 않은 토큰은 취소하세요. 금지 사항: URL에 토큰을 추가하지 마세요: URL에 토큰이 있는 상태로 원격을 클론하거나 추가하면 Git은 URL을 .git/config 파일에 일반 텍스트로 기록합니다. URL은 종종 프록시 및 애플리케이션 서버에 기록되어 시스템 관리자에게 해당 자격 증명이 노출될 수 있습니다. 프로젝트에 일반 텍스트로 토큰을 저장하지 마세요. 토큰이 GitLab CI/CD의 외부 시크릿인 경우 CI/CD에서 외부 시크릿 사용 방법을 검토하세요. 코드, 콘솔 명령 또는 로그 출력을 이슈, MR 설명, 댓글 또는 다른 자유 텍스트 입력에 붙여넣을 때 토큰을 포함하지 마세요. 콘솔 로그 또는 아티팩트에 자격 증명을 기록하지 마세요. 자격 증명을 보호 하고 마스킹 하는 것을 고려하세요. CI/CD의 토큰 # 광범위한 범위로 인해 가능한 곳에서 개인 액세스 토큰을 CI/CD 변수로 사용하는 것을 피하세요. CI/CD 작업에서 다른 리소스에 대한 액세스가 필요한 경우 액세스 범위가 가장 적은 것부터 많은 순서로 다음 중 하나를 사용하세요: 작업 토큰 (가장 낮은 액세스 범위) 프로젝트 토큰 그룹 토큰 CI/CD 변수 보안 에 대한 추가 권고 사항: 모든 자격 증명에 시크릿 저장소 를 사용하세요. 민감한 정보를 포함하는 CI/CD 변수는 보호 되고, 마스킹 되고, 숨겨져야 합니다