GitLab 토큰 개요

다양한 인증 토큰과 그 보안적 함의를 이해합니다.

보안 고려 사항

토큰 명명 지침

CI/CD의 토큰

개인 액세스 토큰

OAuth 2.0 토큰

가장 토큰

프로젝트 액세스 토큰

그룹 액세스 토큰

배포 토큰

배포 키

러너 인증 토큰

러너 등록 토큰 (레거시)

CI/CD 작업 토큰

GitLab 클러스터 에이전트 토큰

Find token ID

Find agent ID

Find project ID

Revoke token with RevokeService, including generating an audit event

Revoke token manually, which does not generate an audit event

기타 토큰

피드 토큰

수신 이메일 토큰

작업 공간 토큰

사용 가능한 범위

토큰 접두사

이 문서는 GitLab에서 사용되는 토큰, 그 목적 및 해당되는 경우 보안 지침을 나열합니다. 보안 고려 사항 # 토큰을 안전하게 유지하려면: 토큰을 비밀번호처럼 취급하고 안전하게 보관하세요. 범위가 지정된 토큰을 만들 때 실수로 누출된 토큰의 영향을 줄이기 위해 가능한 가장 제한적인 범위를 사용하세요. 별도의 프로세스가 다른 범위를 필요로 하는 경우(예: read 및 write ), 각 범위에 대해 별도의 토큰을 사용하는 것을 고려하세요. 하나의 토큰이 유출되면 전체 API 액세스와 같은 넓은 범위를 가진 단일 토큰보다 적은 액세스를 제공합니다. 토큰을 만들 때: 아래의 토큰 명명 지침 에 따라 이름을 선택하세요. 작업이 완료되면 만료되는 토큰을 설정하는 것을 고려하세요. 예를 들어 일회성 가져오기를 수행해야 하는 경우 토큰이 몇 시간 후에 만료되도록 설정하세요. 관련 URL을 포함한 추가 컨텍스트를 제공하는 설명을 추가하세요. URL 대신 헤더를 통해 토큰을 전달하세요: 개인, 프로젝트 및 그룹 액세스 토큰에는 PRIVATE-TOKEN 을 사용하세요. 작업 토큰에는 JOB-TOKEN 을 사용하세요. 데모 환경이 있는 경우 프로젝트에 대한 비디오를 녹화하거나 블로그 게시물을 게시한 후 모든 토큰을 취소하세요. Git 자격 증명 저장소 를 사용하여 토큰을 저장할 수 있습니다. 모든 유형의 모든 활성 액세스 토큰을 정기적으로 검토하고 필요하지 않은 토큰은 취소하세요. 금지 사항: URL에 토큰을 추가하지 마세요: URL에 토큰이 있는 상태로 원격을 클론하거나 추가하면 Git은 URL을 .git/config 파일에 일반 텍스트로 기록합니다. URL은 종종 프록시 및 애플리케이션 서버에 기록되어 시스템 관리자에게 해당 자격 증명이 노출될 수 있습니다. 프로젝트에 일반 텍스트로 토큰을 저장하지 마세요. 토큰이 GitLab CI/CD의 외부 시크릿인 경우 CI/CD에서 외부 시크릿 사용 방법을 검토하세요. 코드, 콘솔 명령 또는 로그 출력을 이슈, MR 설명, 댓글 또는 다른 자유 텍스트 입력에 붙여넣을 때 토큰을 포함하지 마세요. 콘솔 로그 또는 아티팩트에 자격 증명을 기록하지 마세요. 자격 증명을 보호 하고 마스킹 하는 것을 고려하세요. 토큰 명명 지침 # 액세스 토큰에 대한 명확하고 일관된 명명 규칙은 다음에 도움이 됩니다: 활성 토큰을 감사할 때 토큰의 목적과 소유자를 빠르게 식별합니다. 토큰을 교체하거나 취소하기 전에 여전히 필요한지 여부를 결정합니다. 다른 프로세스가 의존하는 토큰을 실수로 취소하는 위험을 줄입니다. 권장 명명 형식 # 누가 토큰을 만들었는지, 무엇 에 사용되는지, 어디서 사용되는지 세 가지 질문에 답하는 이름을 사용하세요. 실용적인 형식은 다음과 같습니다: <purpose>-<context>-<environment> 예를 들어: 토큰 이름 목적 ci-deploy-gitlab-production 프로덕션의 GitLab 프로젝트를 위한 CI/CD 배포 작업 api-read-reporting-da