개인 액세스 토큰

요약

개인 액세스 토큰은 GitLab에 대한 인증된 액세스를 제공합니다. 개인 액세스 토큰을 사용하여 다음으로 인증할 수 있습니다: 이중 인증(2FA) 또는 SAML이 활성화된 경우 개인 액세스 토큰으로 인증해야 합니다. GitLab 관리 Terraform 상태 백엔드 및 컨테이너 레지스트리와 같이 사용자 이름이 필요한 일부 GitLab 기능은 GitLab 사용자 이름이 있는 개인 액세스 토큰을 사용합니다.

개인 액세스 토큰은 GitLab에 대한 인증된 액세스를 제공합니다. OAuth2 토큰의 대안이며 그룹 액세스 토큰 및 프로젝트 액세스 토큰과 유사하지만 그룹이나 프로젝트가 아닌 사용자에게 연결됩니다.

개인 액세스 토큰을 사용하여 다음으로 인증할 수 있습니다:

GitLab API.
HTTPS를 통한 Git. 다음을 사용합니다:
- 비어있지 않은 값을 사용자 이름으로.
- 개인 액세스 토큰을 비밀번호로.

Note

이중 인증(2FA) 또는 SAML이 활성화된 경우 개인 액세스 토큰으로 인증해야 합니다.

GitLab 관리 Terraform 상태 백엔드 및 컨테이너 레지스트리와 같이 사용자 이름이 필요한 일부 GitLab 기능은 GitLab 사용자 이름이 있는 개인 액세스 토큰을 사용합니다. 이 경우 사용자 이름은 필요하지만 인증의 일부로 평가되지 않습니다. 자세한 내용은 이슈 212953을 참조하세요.

GitLab Self-Managed 및 GitLab Dedicated 인스턴스에서 관리자는 사용자 토큰 API를 사용하여 특정 사용자로 인증하는 가장 토큰을 생성할 수 있습니다.

토큰 사용 정보 보기#

히스토리

In GitLab 16.0 and earlier, token usage information is updated every 24 hours.
The frequency of token usage information updates changed in GitLab 16.1 from 24 hours to 10 minutes.
Ability to view IP addresses introduced in GitLab 17.8 with a flag named pat_ip. Enabled by default in 17.9.
Ability to view IP addresses made generally available in GitLab 17.10. Feature flag pat_ip removed.

개인 액세스 토큰 페이지는 액세스 토큰에 대한 정보를 표시합니다.

이 페이지에서 다음 작업을 수행할 수 있습니다:

개인 액세스 토큰 생성, 교체, 취소.
활성 및 비활성 개인 액세스 토큰 모두 보기.
범위, 할당된 역할, 만료 날짜를 포함한 토큰 정보 보기.
사용 날짜 및 마지막 5개 고유 연결 IP 주소를 포함한 사용 정보 보기.

[!note] GitLab은 토큰이 Git 작업을 수행하거나 REST 또는 GraphQL API로 작업을 인증할 때 주기적으로 토큰 사용 정보를 업데이트합니다. 토큰 사용 시간은 10분마다, 토큰 사용 IP 주소는 1분마다 업데이트됩니다.

개인 액세스 토큰을 보려면:

오른쪽 상단에서 아바타를 선택합니다.
프로필 편집을 선택합니다.
왼쪽 사이드바에서 액세스 > 개인 액세스 토큰을 선택합니다.

토큰 이름을 선택하여 세부 정보 패널을 엽니다. 기본적으로 활성 토큰만 표시됩니다. 검색 바를 사용하여 액세스 토큰 목록을 필터링합니다.

개인 액세스 토큰 만들기#

히스토리

Ability to create non-expiring personal access tokens was removed in GitLab 16.0.
Maximum allowable lifetime limit extended to 400 days in GitLab 17.6 with a flag named buffered_token_expiration_limit. Disabled by default.
Personal access token description introduced in GitLab 17.7.

Feature flag

확장된 최대 허용 수명 제한의 가용성은 기능 플래그에 의해 제어됩니다. 자세한 내용은 히스토리를 참조하세요.

개인 액세스 토큰을 만들려면:

오른쪽 상단에서 아바타를 선택합니다.
프로필 편집을 선택합니다.
왼쪽 사이드바에서 액세스 > 개인 액세스 토큰을 선택합니다.
토큰 생성 드롭다운 목록에서 레거시 토큰을 선택합니다.
토큰 이름에 토큰의 이름을 입력합니다.
선택 사항. 토큰 설명에 토큰의 설명을 입력합니다.
만료 날짜에 토큰의 만료 날짜를 입력합니다.
- 토큰은 해당 날짜 UTC 자정에 만료됩니다.
- 날짜를 입력하지 않으면 만료 날짜는 오늘부터 365일 후로 설정됩니다.
- 기본적으로 만료 날짜는 오늘부터 365일을 초과할 수 없습니다. GitLab 17.6 이상에서 관리자는 액세스 토큰의 최대 수명을 수정할 수 있습니다.
하나 이상의 개인 액세스 토큰 범위를 선택합니다.
토큰 생성을 선택합니다.

개인 액세스 토큰이 표시됩니다. 안전한 곳에 개인 액세스 토큰을 저장하세요. 페이지를 나가거나 새로 고침하면 다시 볼 수 없습니다.

모든 액세스 토큰은 개인 액세스 토큰에 대해 구성된 기본 접두사 설정을 상속합니다.

개인 액세스 토큰 세부 정보 미리 채우기#

URL에 이름, 설명, 범위 목록을 추가하여 개인 액세스 토큰의 세부 정보를 미리 채울 수 있습니다. 예를 들면:

https://gitlab.example.com/-/user_settings/personal_access_tokens?name=Example+Access+token&description=My+description&scopes=api,read_user

Note

개인 액세스 토큰은 신중하게 취급해야 합니다. 개인 액세스 토큰 관리에 대한 지침은

[토큰 보안 고려 사항](../../security/tokens/_index.md#security-considerations)을 참조하세요.

개인 액세스 토큰 범위#

히스토리

Personal access tokens no longer being able to access container or package registries introduced in GitLab 16.0.
k8s_proxy introduced in GitLab 16.4 with a flag named k8s_proxy_pat. Enabled by default.
Feature flag k8s_proxy_pat removed in GitLab 16.5.
read_service_ping introduced in GitLab 17.1.
manage_runner introduced in GitLab 17.1.
self_rotate introduced in GitLab 17.9. Enabled by default.

범위는 개인 액세스 토큰으로 인증할 때 사용 가능한 작업을 정의합니다. 다음 범위를 사용할 수 있습니다:

Note

세분화된 개인 액세스 토큰은 다른 범위를 사용합니다.

범위	설명
`api`	API에 대한 완전한 읽기 및 쓰기 액세스 권한을 부여합니다. 모든 그룹과 프로젝트, 컨테이너 레지스트리, 의존성 프록시, 패키지 레지스트리를 포함합니다. Git-over-HTTP를 사용하여 레지스트리와 저장소에 대한 완전한 읽기 및 쓰기 액세스도 부여합니다.
`read_api`	API에 대한 읽기 액세스 권한을 부여합니다. 모든 그룹과 프로젝트, 컨테이너 레지스트리, 패키지 레지스트리를 포함합니다.
`read_registry`	프로젝트가 비공개이고 인증이 필요한 경우 컨테이너 레지스트리 이미지에 대한 읽기 액세스(풀) 권한을 부여합니다. 컨테이너 레지스트리가 활성화된 경우에만 사용 가능합니다.
`write_registry`	프로젝트가 비공개이고 인증이 필요한 경우 컨테이너 레지스트리 이미지에 대한 쓰기 액세스(푸시) 권한을 부여합니다. 컨테이너 레지스트리가 활성화된 경우에만 사용 가능합니다.
`read_virtual_registry`	프로젝트가 비공개이고 인증이 필요한 경우 의존성 프록시를 통해 컨테이너 이미지에 대한 읽기 액세스(풀) 권한을 부여합니다. 의존성 프록시가 활성화된 경우에만 사용 가능합니다.
`write_virtual_registry`	프로젝트가 비공개이고 인증이 필요한 경우 의존성 프록시를 통해 컨테이너 이미지에 대한 읽기 및 쓰기 액세스(풀, 푸시, 삭제) 권한을 부여합니다. 의존성 프록시가 활성화된 경우에만 사용 가능합니다.
`read_repository`	Git-over-HTTP 또는 저장소 파일 API를 사용하여 비공개 프로젝트의 저장소에 대한 읽기 액세스(풀) 권한을 부여합니다.
`write_repository`	Git-over-HTTP를 사용하여 비공개 프로젝트의 저장소에 대한 읽기 및 쓰기 액세스(풀 및 푸시) 권한을 부여합니다. API 인증은 지원하지 않습니다.
`create_runner`	러너를 생성하는 권한을 부여합니다.
`manage_runner`	러너를 관리하는 권한을 부여합니다.
`admin_mode`	관리자 모드가 활성화된 경우 API 작업을 수행하는 권한을 부여합니다. GitLab Self-Managed 인스턴스의 관리자만 사용 가능합니다.
`ai_features`	GitLab Duo, 코드 제안 API, GitLab Duo Chat API에 대한 API 작업을 수행하는 권한을 부여합니다. JetBrains용 GitLab Duo 플러그인과 함께 작동하도록 설계되었습니다. 다른 모든 확장 프로그램의 경우 개별 확장 프로그램 문서를 참조하세요. GitLab Self-Managed 버전 16.5, 16.6, 16.7에서는 작동하지 않습니다. GitLab Self-Managed 및 GitLab Dedicated에서 이 범위는 GitLab Duo가 활성화된 경우에만 사용 가능합니다.
`k8s_proxy`	Kubernetes용 에이전트를 사용하여 Kubernetes API 호출을 수행하는 권한을 부여합니다.
`self_rotate`	개인 액세스 토큰 API를 사용하여 이 토큰을 교체하는 권한을 부여합니다. 다른 토큰의 교체는 허용하지 않습니다.
`read_service_ping`	관리자로 인증할 때 API를 통해 서비스 핑 페이로드를 다운로드하는 액세스 권한을 부여합니다.
`sudo`	관리자로 인증할 때 시스템의 모든 사용자로 API 작업을 수행하는 권한을 부여합니다.
`read_user`	`/user` API 엔드포인트를 통해 인증된 사용자의 프로필(사용자 이름, 공개 이메일, 전체 이름 포함)에 대한 읽기 전용 액세스 권한을 부여합니다. `/users` 아래의 읽기 전용 API 엔드포인트에 대한 액세스도 부여합니다.

Warning

외부 권한 부여를 활성화한 경우 개인 액세스 토큰은 컨테이너 또는 패키지 레지스트리에 액세스할 수 없습니다. 액세스를 복원하려면 외부 권한 부여를 끕니다.

개인 액세스 토큰 교체#

히스토리

Ability to use the UI to rotate a personal access token introduced in GitLab 17.7.
Updated UI in GitLab 18.1.

원본과 동일한 권한과 범위를 가진 새 토큰을 만들기 위해 토큰을 교체합니다. 원본 토큰은 즉시 비활성화되며 GitLab은 감사 목적으로 두 버전을 모두 보존합니다.

Warning

이 작업은 취소할 수 없습니다. 교체된 액세스 토큰에 의존하는 도구는 새 토큰을 참조할 때까지 작동하지 않습니다.

개인 액세스 토큰을 교체하려면:

오른쪽 상단에서 아바타를 선택합니다.
프로필 편집을 선택합니다.
왼쪽 사이드바에서 액세스 > 개인 액세스 토큰을 선택합니다.
활성 토큰 옆에서 세로 줄임표(⋮)를 선택합니다.
교체 ([retry])를 선택합니다.
확인 대화 상자에서 교체를 선택합니다.

개인 액세스 토큰 취소#

히스토리

Updated UI in GitLab 18.1.

토큰을 즉시 무효화하고 추가 사용을 방지하려면 토큰을 취소합니다. GitLab은 감사 목적으로 토큰을 보존합니다. 토큰을 영구적으로 삭제할 수는 없지만 활성 토큰만 표시하도록 토큰 목록을 필터링할 수 있습니다.

Warning

이 작업은 취소할 수 없습니다. 취소된 액세스 토큰에 의존하는 도구는 새 토큰을 추가할 때까지 작동하지 않습니다.

개인 액세스 토큰을 취소하려면:

오른쪽 상단에서 아바타를 선택합니다.
프로필 편집을 선택합니다.
왼쪽 사이드바에서 액세스 > 개인 액세스 토큰을 선택합니다.
활성 토큰 옆에서 세로 줄임표(⋮)를 선택합니다.
취소 ([remove])를 선택합니다.
확인 대화 상자에서 취소를 선택합니다.

액세스 토큰 만료#

개인, 그룹, 프로젝트 액세스 토큰은 만료 날짜의 UTC 자정에 만료됩니다. 만료된 후에는 더 이상 요청 인증에 사용할 수 없습니다.

GitLab 16.0 이상에서는 새 액세스 토큰에 반드시 만료 날짜가 있어야 합니다. 토큰 생성 시 만료 날짜를 명시적으로 설정하지 않으면 현재 날짜로부터 365일 후의 만료 날짜가 자동으로 적용됩니다. GitLab Ultimate에서 관리자는 액세스 토큰의 최대 허용 수명을 구성할 수 있습니다.

GitLab 버전 업그레이드 시 기존 액세스 토큰에 만료 날짜가 자동으로 적용될 수 있습니다. 자세한 내용은 만료 날짜 없는 액세스 토큰을 참조하세요.

개인 액세스 토큰 만료 이메일#

히스토리

60 and 30 day expiry notifications introduced in GitLab 17.6 with a flag named expiring_pats_30d_60d_notifications. Disabled by default.
60 and 30 day notifications generally available in GitLab 17.7. Feature flag expiring_pats_30d_60d_notifications removed.

GitLab은 UTC 1:00 AM에 매일 검사를 실행하여 곧 만료될 개인 액세스 토큰을 식별합니다. 사용자는 토큰이 만료되기 7일 전에 이메일로 알림을 받습니다. GitLab 17.6 이상에서는 토큰이 만료되기 30일 및 60일 전에도 알림이 전송됩니다.

개인 액세스 토큰 만료 캘린더#

각 토큰의 만료 날짜에 이벤트가 포함된 iCalendar 엔드포인트를 구독할 수 있습니다. 로그인 후 이 엔드포인트는 /-/user_settings/personal_access_tokens.ics에서 사용 가능합니다.

만료 날짜 없이 서비스 계정 개인 액세스 토큰 만들기#

만료 날짜 없이 서비스 계정에 대한 개인 액세스 토큰을 만들 수 있습니다. 이러한 개인 액세스 토큰은 비서비스 계정 개인 액세스 토큰과 달리 만료되지 않습니다.

Note

서비스 계정에 대한 개인 액세스 토큰을 만료 날짜 없이 만들 수 있도록 허용하는 것은 이 설정을 변경한 후에 만들어진 토큰에만 영향을 미칩니다. 기존 토큰에는 영향을 미치지 않습니다.

GitLab.com#

사전 요구 사항:

최상위 그룹에 대한 소유자 역할이 있어야 합니다.

상단 바에서 검색 또는 이동을 선택하고 그룹을 찾습니다.
왼쪽 사이드바에서 설정 > 일반을 선택합니다.
권한 및 그룹 기능을 확장합니다.
개인 액세스 토큰 아래에서 서비스 계정에 만료 날짜 요구 체크박스를 선택 취소합니다.

이제 만료 날짜 없이 서비스 계정 사용자에 대한 개인 액세스 토큰을 만들 수 있습니다.

GitLab Self-Managed#

사전 요구 사항:

GitLab Self-Managed 인스턴스의 관리자여야 합니다.

오른쪽 상단에서 관리자를 선택합니다.
왼쪽 사이드바에서 설정 > 일반을 선택합니다.
계정 및 제한을 확장합니다.
서비스 계정 토큰 만료 체크박스를 선택 취소합니다.

이제 만료 날짜 없이 서비스 계정 사용자에 대한 개인 액세스 토큰을 만들 수 있습니다.

액세스 토큰 비활성화#

히스토리

Introduced Disable access tokens setting in GitLab 17.3.

사전 요구 사항:

관리자 액세스.

전체 GitLab 인스턴스에서 사용자가 액세스 토큰으로 인증하는 것을 방지할 수 있습니다. 이 설정은 개인 액세스 토큰, 그룹 액세스 토큰, 프로젝트 액세스 토큰, 가장 토큰에 영향을 미칩니다. 이 설정은 서비스 계정에 대한 개인 액세스 토큰에도 적용됩니다.

액세스 토큰을 비활성화하면 다음 규칙이 적용됩니다:

사용자가 개인 액세스 토큰으로 GitLab에 로그인할 수 없습니다.
개인 액세스 토큰 페이지가 404 Not Found 오류를 반환합니다.
RSS, Atom, 캘린더 피드의 피드 토큰이 작동하지 않습니다.
개인 액세스 토큰으로 인증된 API 요청이 거부됩니다.

인스턴스의 액세스 토큰을 비활성화하려면:

오른쪽 상단에서 관리자를 선택합니다.
왼쪽 사이드바에서 설정 > 일반을 선택합니다.
계정 및 제한을 확장합니다.
액세스 토큰 비활성화 체크박스를 선택합니다.
변경 사항 저장을 선택합니다.

애플리케이션 설정 API에서 disable_personal_access_tokens 속성을 사용할 수도 있습니다.

엔터프라이즈 사용자를 위한 개인 액세스 토큰 비활성화#

히스토리

Introduced in GitLab 16.11 with a flag named enterprise_disable_personal_access_tokens. Disabled by default.
Enabled on GitLab.com in GitLab 17.2
Generally available in GitLab 17.3 . Feature flag enterprise_disable_personal_access_tokens removed.

사전 요구 사항:

엔터프라이즈 사용자가 속한 그룹의 소유자 역할.

그룹의 엔터프라이즈 사용자의 개인 액세스 토큰 비활성화:

엔터프라이즈 사용자가 새 개인 액세스 토큰을 생성하지 못하도록 합니다. 이 동작은 엔터프라이즈 사용자가 그룹의 관리자이기도 한 경우에도 적용됩니다.
엔터프라이즈 사용자의 기존 개인 액세스 토큰을 비활성화합니다.

Warning

엔터프라이즈 사용자의 개인 액세스 토큰 비활성화는 서비스 계정의 개인 액세스 토큰에는 영향을 미치지 않습니다.

엔터프라이즈 사용자의 개인 액세스 토큰을 비활성화하려면:

상단 바에서 검색 또는 이동을 선택하고 그룹을 찾습니다.
왼쪽 사이드바에서 설정 > 일반을 선택합니다.
권한 및 그룹 기능을 확장합니다.
엔터프라이즈 사용자 아래에서 개인 액세스 토큰 비활성화를 선택합니다.
변경 사항 저장을 선택합니다.

엔터프라이즈 사용자 계정을 삭제하거나 차단하면 해당 개인 액세스 토큰이 자동으로 취소됩니다.

개인 액세스 토큰과 함께 DPoP 사용#

히스토리

Introduced in GitLab 17.10 with a flag named dpop_authentication. Disabled by default.

Feature flag

이 기능의 가용성은 기능 플래그에 의해 제어됩니다. 자세한 내용은 히스토리를 참조하세요. 이 기능은 테스트용으로 사용 가능하지만 프로덕션 사용을 위한 준비가 되지 않았습니다.

Demonstrating Proof of Possession(DPoP)은 개인 액세스 토큰의 보안을 강화하고 의도하지 않은 토큰 유출의 영향을 최소화합니다. 계정에서 이 기능을 활성화하면 PAT를 포함하는 모든 REST 및 GraphQL API 요청도 서명된 DPoP 헤더를 제공해야 합니다. 서명된 DPoP 헤더를 만들려면 해당 개인 SSH 키가 필요합니다.

Note

이 기능을 활성화하면 유효한 DPoP 헤더가 없는 모든 API 요청이 DpopValidationError 오류를 반환합니다.

HTTPS를 통한 Git 작업에는 액세스 토큰이 포함되더라도 DPoP 헤더가 필요하지 않습니다.

사전 요구 사항:

사용 유형이 서명 또는 인증 및 서명인 공개 SSH 키를 하나 이상 계정에 추가해야 합니다.
- SSH 키 유형은 RSA여야 합니다.
GitLab 계정에 대해 GitLab CLI를 설치하고 구성해야 합니다.

REST 및 GraphQL API에 대한 모든 호출에 DPoP를 요구하려면:

오른쪽 상단에서 아바타를 선택합니다.
프로필 편집을 선택합니다.
왼쪽 사이드바에서 액세스 > 개인 액세스 토큰을 선택합니다.
Demonstrating Proof of Possession(DPoP) 사용 섹션으로 이동하여 DPoP 활성화를 선택합니다.
변경 사항 저장을 선택합니다.
GitLab CLI로 DPoP 헤더를 생성하려면 터미널에서 이 명령을 실행합니다. <your_access_token>을 액세스 토큰으로, ~/.ssh/id_rsa를 개인 키 위치로 바꿉니다:
```
 glab auth dpop-gen --pat "<your_access_token>" --private-key ~/.ssh/id_rsa
```

CLI에서 생성한 DPoP 헤더를 다음과 함께 사용할 수 있습니다:

REST API:

curl --header "PRIVATE-TOKEN: <your_access_token>" \
  --header "DPoP: <dpop-from-glab>" \
  "https://gitlab.example.com/api/v4/projects"

GraphQL:

 curl --request POST \
 --header "Content-Type: application/json" \
 --header "PRIVATE-TOKEN: <your_access_token>" \
 --header "DPoP: <dpop-from-glab>" \
 --data '{
 "query": "query { currentUser { id } }"
 }' \
 "https://gitlab.example.com/api/graphql"

DPoP에 대해 자세히 알아보려면 블루프린트 개인 액세스 토큰의 발신자 제약을 참조하세요.

프로그래밍 방식으로 개인 액세스 토큰 만들기#

테스트 또는 자동화의 일부로 미리 정해진 개인 액세스 토큰을 만들 수 있습니다.

사전 요구 사항:

GitLab 인스턴스에 대해 Rails 콘솔 세션을 실행하기에 충분한 액세스 권한이 있어야 합니다.

프로그래밍 방식으로 개인 액세스 토큰을 만들려면:

Rails 콘솔을 엽니다:
```
sudo gitlab-rails console
```
사용자 이름, 토큰, 범위를 참조하는 다음 명령을 실행합니다.

토큰은 20자 길이여야 합니다. 범위는 유효해야 하며 소스 코드에서 볼 수 있습니다.

예를 들어 사용자 이름이 automation-bot인 사용자에 속하고 1년 후에 만료되는 토큰을 만들려면:
```
user = User.find_by_username('automation-bot')
token = user.personal_access_tokens.create(scopes: ['read_user', 'read_repository'], name: 'Automation token', expires_at: 365.days.from_now)
token.set_token('token-string-here123')
token.save!
```

이 코드는 Rails 러너를 사용하여 단일 줄 셸 명령으로 단축할 수 있습니다:

sudo gitlab-rails runner "token = User.find_by_username('automation-bot').personal_access_tokens.create(scopes: ['read_user', 'read_repository'], name: 'Automation token', expires_at: 365.days.from_now); token.set_token('token-string-here123'); token.save!"

프로그래밍 방식으로 개인 액세스 토큰 취소#

테스트 또는 자동화의 일부로 프로그래밍 방식으로 개인 액세스 토큰을 취소할 수 있습니다.

사전 요구 사항:

GitLab 인스턴스에 대해 Rails 콘솔 세션을 실행하기에 충분한 액세스 권한이 있어야 합니다.

프로그래밍 방식으로 토큰을 취소하려면:

Rails 콘솔을 엽니다:
```
sudo gitlab-rails console
```
token-string-here123의 토큰을 취소하려면 다음 명령을 실행합니다:
```
token = PersonalAccessToken.find_by_token('token-string-here123')
token.revoke!
```

이 코드는 Rails 러너를 사용하여 단일 줄 셸 명령으로 단축할 수 있습니다:

sudo gitlab-rails runner "PersonalAccessToken.find_by_token('token-string-here123').revoke!"

개인 액세스 토큰을 사용하여 저장소 복제#

SSH가 비활성화된 경우 다음 명령을 실행하여 개인 액세스 토큰을 사용하여 저장소를 복제합니다:

git clone https://<username>:<personal_token>@gitlab.com/gitlab-org/gitlab.git

이 방법은 개인 액세스 토큰을 bash 히스토리에 저장합니다. 이를 방지하려면 다음 명령을 실행합니다:

git clone https://<username>@gitlab.com/gitlab-org/gitlab.git

https://gitlab.com의 비밀번호를 요청하면 개인 액세스 토큰을 입력합니다.

clone 명령의 username:

어떤 문자열 값이든 가능합니다.
빈 문자열이어서는 안 됩니다.

인증에 의존하는 자동화 파이프라인을 설정하는 경우 이를 기억하세요.

개인 액세스 토큰의 대안#

HTTPS를 통한 Git의 경우 개인 액세스 토큰의 대안으로 OAuth 자격 증명 헬퍼를 사용할 수 있습니다.

CI/CD 작업의 인증에 대해서는 다음을 고려하세요:

파이프라인 인증을 위한 세분화된 권한이 있는 CI/CD 작업 토큰
프로젝트별 자동화를 위한 최소 필요 권한이 있는 프로젝트 액세스 토큰

개인 액세스 토큰

Tier: Premium, Ultimate
Offering: GitLab Self-Managed, GitLab Dedicated

원문 보기

번역일: 2026-05-22

요약

개인 액세스 토큰을 사용하여 다음으로 인증할 수 있습니다:

GitLab API.
HTTPS를 통한 Git. 다음을 사용합니다:
- 비어있지 않은 값을 사용자 이름으로.
- 개인 액세스 토큰을 비밀번호로.

Note

이중 인증(2FA) 또는 SAML이 활성화된 경우 개인 액세스 토큰으로 인증해야 합니다.

GitLab Self-Managed 및 GitLab Dedicated 인스턴스에서 관리자는 사용자 토큰 API를 사용하여 특정 사용자로 인증하는 가장 토큰을 생성할 수 있습니다.

토큰 사용 정보 보기#

히스토리

In GitLab 16.0 and earlier, token usage information is updated every 24 hours.
The frequency of token usage information updates changed in GitLab 16.1 from 24 hours to 10 minutes.
Ability to view IP addresses introduced in GitLab 17.8 with a flag named pat_ip. Enabled by default in 17.9.
Ability to view IP addresses made generally available in GitLab 17.10. Feature flag pat_ip removed.

개인 액세스 토큰 페이지는 액세스 토큰에 대한 정보를 표시합니다.

이 페이지에서 다음 작업을 수행할 수 있습니다:

개인 액세스 토큰 생성, 교체, 취소.
활성 및 비활성 개인 액세스 토큰 모두 보기.
범위, 할당된 역할, 만료 날짜를 포함한 토큰 정보 보기.
사용 날짜 및 마지막 5개 고유 연결 IP 주소를 포함한 사용 정보 보기.

[!note] GitLab은 토큰이 Git 작업을 수행하거나 REST 또는 GraphQL API로 작업을 인증할 때 주기적으로 토큰 사용 정보를 업데이트합니다. 토큰 사용 시간은 10분마다, 토큰 사용 IP 주소는 1분마다 업데이트됩니다.

개인 액세스 토큰을 보려면:

오른쪽 상단에서 아바타를 선택합니다.
프로필 편집을 선택합니다.
왼쪽 사이드바에서 액세스 > 개인 액세스 토큰을 선택합니다.

토큰 이름을 선택하여 세부 정보 패널을 엽니다. 기본적으로 활성 토큰만 표시됩니다. 검색 바를 사용하여 액세스 토큰 목록을 필터링합니다.

개인 액세스 토큰 만들기#

히스토리

Ability to create non-expiring personal access tokens was removed in GitLab 16.0.
Maximum allowable lifetime limit extended to 400 days in GitLab 17.6 with a flag named buffered_token_expiration_limit. Disabled by default.
Personal access token description introduced in GitLab 17.7.

Feature flag

확장된 최대 허용 수명 제한의 가용성은 기능 플래그에 의해 제어됩니다. 자세한 내용은 히스토리를 참조하세요.

개인 액세스 토큰을 만들려면:

오른쪽 상단에서 아바타를 선택합니다.
프로필 편집을 선택합니다.
왼쪽 사이드바에서 액세스 > 개인 액세스 토큰을 선택합니다.
토큰 생성 드롭다운 목록에서 레거시 토큰을 선택합니다.
토큰 이름에 토큰의 이름을 입력합니다.
선택 사항. 토큰 설명에 토큰의 설명을 입력합니다.
만료 날짜에 토큰의 만료 날짜를 입력합니다.
- 토큰은 해당 날짜 UTC 자정에 만료됩니다.
- 날짜를 입력하지 않으면 만료 날짜는 오늘부터 365일 후로 설정됩니다.
- 기본적으로 만료 날짜는 오늘부터 365일을 초과할 수 없습니다. GitLab 17.6 이상에서 관리자는 액세스 토큰의 최대 수명을 수정할 수 있습니다.
하나 이상의 개인 액세스 토큰 범위를 선택합니다.
토큰 생성을 선택합니다.

개인 액세스 토큰이 표시됩니다. 안전한 곳에 개인 액세스 토큰을 저장하세요. 페이지를 나가거나 새로 고침하면 다시 볼 수 없습니다.

모든 액세스 토큰은 개인 액세스 토큰에 대해 구성된 기본 접두사 설정을 상속합니다.

개인 액세스 토큰 세부 정보 미리 채우기#

URL에 이름, 설명, 범위 목록을 추가하여 개인 액세스 토큰의 세부 정보를 미리 채울 수 있습니다. 예를 들면:

https://gitlab.example.com/-/user_settings/personal_access_tokens?name=Example+Access+token&description=My+description&scopes=api,read_user

Note

개인 액세스 토큰은 신중하게 취급해야 합니다. 개인 액세스 토큰 관리에 대한 지침은

[토큰 보안 고려 사항](../../security/tokens/_index.md#security-considerations)을 참조하세요.

개인 액세스 토큰 범위#

히스토리

Personal access tokens no longer being able to access container or package registries introduced in GitLab 16.0.
k8s_proxy introduced in GitLab 16.4 with a flag named k8s_proxy_pat. Enabled by default.
Feature flag k8s_proxy_pat removed in GitLab 16.5.
read_service_ping introduced in GitLab 17.1.
manage_runner introduced in GitLab 17.1.
self_rotate introduced in GitLab 17.9. Enabled by default.

범위는 개인 액세스 토큰으로 인증할 때 사용 가능한 작업을 정의합니다. 다음 범위를 사용할 수 있습니다:

Note

세분화된 개인 액세스 토큰은 다른 범위를 사용합니다.

범위	설명
`api`	API에 대한 완전한 읽기 및 쓰기 액세스 권한을 부여합니다. 모든 그룹과 프로젝트, 컨테이너 레지스트리, 의존성 프록시, 패키지 레지스트리를 포함합니다. Git-over-HTTP를 사용하여 레지스트리와 저장소에 대한 완전한 읽기 및 쓰기 액세스도 부여합니다.
`read_api`	API에 대한 읽기 액세스 권한을 부여합니다. 모든 그룹과 프로젝트, 컨테이너 레지스트리, 패키지 레지스트리를 포함합니다.
`read_registry`	프로젝트가 비공개이고 인증이 필요한 경우 컨테이너 레지스트리 이미지에 대한 읽기 액세스(풀) 권한을 부여합니다. 컨테이너 레지스트리가 활성화된 경우에만 사용 가능합니다.
`write_registry`	프로젝트가 비공개이고 인증이 필요한 경우 컨테이너 레지스트리 이미지에 대한 쓰기 액세스(푸시) 권한을 부여합니다. 컨테이너 레지스트리가 활성화된 경우에만 사용 가능합니다.
`read_virtual_registry`	프로젝트가 비공개이고 인증이 필요한 경우 의존성 프록시를 통해 컨테이너 이미지에 대한 읽기 액세스(풀) 권한을 부여합니다. 의존성 프록시가 활성화된 경우에만 사용 가능합니다.
`write_virtual_registry`	프로젝트가 비공개이고 인증이 필요한 경우 의존성 프록시를 통해 컨테이너 이미지에 대한 읽기 및 쓰기 액세스(풀, 푸시, 삭제) 권한을 부여합니다. 의존성 프록시가 활성화된 경우에만 사용 가능합니다.
`read_repository`	Git-over-HTTP 또는 저장소 파일 API를 사용하여 비공개 프로젝트의 저장소에 대한 읽기 액세스(풀) 권한을 부여합니다.
`write_repository`	Git-over-HTTP를 사용하여 비공개 프로젝트의 저장소에 대한 읽기 및 쓰기 액세스(풀 및 푸시) 권한을 부여합니다. API 인증은 지원하지 않습니다.
`create_runner`	러너를 생성하는 권한을 부여합니다.
`manage_runner`	러너를 관리하는 권한을 부여합니다.
`admin_mode`	관리자 모드가 활성화된 경우 API 작업을 수행하는 권한을 부여합니다. GitLab Self-Managed 인스턴스의 관리자만 사용 가능합니다.
`ai_features`	GitLab Duo, 코드 제안 API, GitLab Duo Chat API에 대한 API 작업을 수행하는 권한을 부여합니다. JetBrains용 GitLab Duo 플러그인과 함께 작동하도록 설계되었습니다. 다른 모든 확장 프로그램의 경우 개별 확장 프로그램 문서를 참조하세요. GitLab Self-Managed 버전 16.5, 16.6, 16.7에서는 작동하지 않습니다. GitLab Self-Managed 및 GitLab Dedicated에서 이 범위는 GitLab Duo가 활성화된 경우에만 사용 가능합니다.
`k8s_proxy`	Kubernetes용 에이전트를 사용하여 Kubernetes API 호출을 수행하는 권한을 부여합니다.
`self_rotate`	개인 액세스 토큰 API를 사용하여 이 토큰을 교체하는 권한을 부여합니다. 다른 토큰의 교체는 허용하지 않습니다.
`read_service_ping`	관리자로 인증할 때 API를 통해 서비스 핑 페이로드를 다운로드하는 액세스 권한을 부여합니다.
`sudo`	관리자로 인증할 때 시스템의 모든 사용자로 API 작업을 수행하는 권한을 부여합니다.
`read_user`	`/user` API 엔드포인트를 통해 인증된 사용자의 프로필(사용자 이름, 공개 이메일, 전체 이름 포함)에 대한 읽기 전용 액세스 권한을 부여합니다. `/users` 아래의 읽기 전용 API 엔드포인트에 대한 액세스도 부여합니다.

Warning

개인 액세스 토큰 교체#

히스토리

Ability to use the UI to rotate a personal access token introduced in GitLab 17.7.
Updated UI in GitLab 18.1.

Warning

이 작업은 취소할 수 없습니다. 교체된 액세스 토큰에 의존하는 도구는 새 토큰을 참조할 때까지 작동하지 않습니다.

개인 액세스 토큰을 교체하려면:

오른쪽 상단에서 아바타를 선택합니다.
프로필 편집을 선택합니다.
왼쪽 사이드바에서 액세스 > 개인 액세스 토큰을 선택합니다.
활성 토큰 옆에서 세로 줄임표(⋮)를 선택합니다.
교체 ([retry])를 선택합니다.
확인 대화 상자에서 교체를 선택합니다.

개인 액세스 토큰 취소#

히스토리

Updated UI in GitLab 18.1.

Warning

이 작업은 취소할 수 없습니다. 취소된 액세스 토큰에 의존하는 도구는 새 토큰을 추가할 때까지 작동하지 않습니다.

개인 액세스 토큰을 취소하려면:

오른쪽 상단에서 아바타를 선택합니다.
프로필 편집을 선택합니다.
왼쪽 사이드바에서 액세스 > 개인 액세스 토큰을 선택합니다.
활성 토큰 옆에서 세로 줄임표(⋮)를 선택합니다.
취소 ([remove])를 선택합니다.
확인 대화 상자에서 취소를 선택합니다.

액세스 토큰 만료#

개인, 그룹, 프로젝트 액세스 토큰은 만료 날짜의 UTC 자정에 만료됩니다. 만료된 후에는 더 이상 요청 인증에 사용할 수 없습니다.

GitLab 버전 업그레이드 시 기존 액세스 토큰에 만료 날짜가 자동으로 적용될 수 있습니다. 자세한 내용은 만료 날짜 없는 액세스 토큰을 참조하세요.

개인 액세스 토큰 만료 이메일#

히스토리

60 and 30 day expiry notifications introduced in GitLab 17.6 with a flag named expiring_pats_30d_60d_notifications. Disabled by default.
60 and 30 day notifications generally available in GitLab 17.7. Feature flag expiring_pats_30d_60d_notifications removed.

개인 액세스 토큰 만료 캘린더#

만료 날짜 없이 서비스 계정 개인 액세스 토큰 만들기#

Note

GitLab.com#

사전 요구 사항:

최상위 그룹에 대한 소유자 역할이 있어야 합니다.

상단 바에서 검색 또는 이동을 선택하고 그룹을 찾습니다.
왼쪽 사이드바에서 설정 > 일반을 선택합니다.
권한 및 그룹 기능을 확장합니다.
개인 액세스 토큰 아래에서 서비스 계정에 만료 날짜 요구 체크박스를 선택 취소합니다.

이제 만료 날짜 없이 서비스 계정 사용자에 대한 개인 액세스 토큰을 만들 수 있습니다.

GitLab Self-Managed#

사전 요구 사항:

GitLab Self-Managed 인스턴스의 관리자여야 합니다.

오른쪽 상단에서 관리자를 선택합니다.
왼쪽 사이드바에서 설정 > 일반을 선택합니다.
계정 및 제한을 확장합니다.
서비스 계정 토큰 만료 체크박스를 선택 취소합니다.

이제 만료 날짜 없이 서비스 계정 사용자에 대한 개인 액세스 토큰을 만들 수 있습니다.

액세스 토큰 비활성화#

히스토리

Introduced Disable access tokens setting in GitLab 17.3.

사전 요구 사항:

관리자 액세스.

액세스 토큰을 비활성화하면 다음 규칙이 적용됩니다:

사용자가 개인 액세스 토큰으로 GitLab에 로그인할 수 없습니다.
개인 액세스 토큰 페이지가 404 Not Found 오류를 반환합니다.
RSS, Atom, 캘린더 피드의 피드 토큰이 작동하지 않습니다.
개인 액세스 토큰으로 인증된 API 요청이 거부됩니다.

인스턴스의 액세스 토큰을 비활성화하려면:

오른쪽 상단에서 관리자를 선택합니다.
왼쪽 사이드바에서 설정 > 일반을 선택합니다.
계정 및 제한을 확장합니다.
액세스 토큰 비활성화 체크박스를 선택합니다.
변경 사항 저장을 선택합니다.

애플리케이션 설정 API에서 disable_personal_access_tokens 속성을 사용할 수도 있습니다.

엔터프라이즈 사용자를 위한 개인 액세스 토큰 비활성화#

히스토리

Introduced in GitLab 16.11 with a flag named enterprise_disable_personal_access_tokens. Disabled by default.
Enabled on GitLab.com in GitLab 17.2
Generally available in GitLab 17.3 . Feature flag enterprise_disable_personal_access_tokens removed.

사전 요구 사항:

엔터프라이즈 사용자가 속한 그룹의 소유자 역할.

그룹의 엔터프라이즈 사용자의 개인 액세스 토큰 비활성화:

엔터프라이즈 사용자가 새 개인 액세스 토큰을 생성하지 못하도록 합니다. 이 동작은 엔터프라이즈 사용자가 그룹의 관리자이기도 한 경우에도 적용됩니다.
엔터프라이즈 사용자의 기존 개인 액세스 토큰을 비활성화합니다.

Warning

엔터프라이즈 사용자의 개인 액세스 토큰 비활성화는 서비스 계정의 개인 액세스 토큰에는 영향을 미치지 않습니다.

엔터프라이즈 사용자의 개인 액세스 토큰을 비활성화하려면:

상단 바에서 검색 또는 이동을 선택하고 그룹을 찾습니다.
왼쪽 사이드바에서 설정 > 일반을 선택합니다.
권한 및 그룹 기능을 확장합니다.
엔터프라이즈 사용자 아래에서 개인 액세스 토큰 비활성화를 선택합니다.
변경 사항 저장을 선택합니다.

엔터프라이즈 사용자 계정을 삭제하거나 차단하면 해당 개인 액세스 토큰이 자동으로 취소됩니다.

개인 액세스 토큰과 함께 DPoP 사용#

히스토리

Introduced in GitLab 17.10 with a flag named dpop_authentication. Disabled by default.

Feature flag

Note

이 기능을 활성화하면 유효한 DPoP 헤더가 없는 모든 API 요청이 DpopValidationError 오류를 반환합니다.

HTTPS를 통한 Git 작업에는 액세스 토큰이 포함되더라도 DPoP 헤더가 필요하지 않습니다.

사전 요구 사항:

사용 유형이 서명 또는 인증 및 서명인 공개 SSH 키를 하나 이상 계정에 추가해야 합니다.
- SSH 키 유형은 RSA여야 합니다.
GitLab 계정에 대해 GitLab CLI를 설치하고 구성해야 합니다.

REST 및 GraphQL API에 대한 모든 호출에 DPoP를 요구하려면:

오른쪽 상단에서 아바타를 선택합니다.
프로필 편집을 선택합니다.
왼쪽 사이드바에서 액세스 > 개인 액세스 토큰을 선택합니다.
Demonstrating Proof of Possession(DPoP) 사용 섹션으로 이동하여 DPoP 활성화를 선택합니다.
변경 사항 저장을 선택합니다.
GitLab CLI로 DPoP 헤더를 생성하려면 터미널에서 이 명령을 실행합니다. <your_access_token>을 액세스 토큰으로, ~/.ssh/id_rsa를 개인 키 위치로 바꿉니다:
```
 glab auth dpop-gen --pat "<your_access_token>" --private-key ~/.ssh/id_rsa
```

CLI에서 생성한 DPoP 헤더를 다음과 함께 사용할 수 있습니다:

REST API:

curl --header "PRIVATE-TOKEN: <your_access_token>" \
  --header "DPoP: <dpop-from-glab>" \
  "https://gitlab.example.com/api/v4/projects"

GraphQL:

 curl --request POST \
 --header "Content-Type: application/json" \
 --header "PRIVATE-TOKEN: <your_access_token>" \
 --header "DPoP: <dpop-from-glab>" \
 --data '{
 "query": "query { currentUser { id } }"
 }' \
 "https://gitlab.example.com/api/graphql"

DPoP에 대해 자세히 알아보려면 블루프린트 개인 액세스 토큰의 발신자 제약을 참조하세요.

프로그래밍 방식으로 개인 액세스 토큰 만들기#

테스트 또는 자동화의 일부로 미리 정해진 개인 액세스 토큰을 만들 수 있습니다.

사전 요구 사항:

GitLab 인스턴스에 대해 Rails 콘솔 세션을 실행하기에 충분한 액세스 권한이 있어야 합니다.

프로그래밍 방식으로 개인 액세스 토큰을 만들려면:

Rails 콘솔을 엽니다:
```
sudo gitlab-rails console
```
사용자 이름, 토큰, 범위를 참조하는 다음 명령을 실행합니다.

토큰은 20자 길이여야 합니다. 범위는 유효해야 하며 소스 코드에서 볼 수 있습니다.

예를 들어 사용자 이름이 automation-bot인 사용자에 속하고 1년 후에 만료되는 토큰을 만들려면:
```
user = User.find_by_username('automation-bot')
token = user.personal_access_tokens.create(scopes: ['read_user', 'read_repository'], name: 'Automation token', expires_at: 365.days.from_now)
token.set_token('token-string-here123')
token.save!
```

이 코드는 Rails 러너를 사용하여 단일 줄 셸 명령으로 단축할 수 있습니다:

sudo gitlab-rails runner "token = User.find_by_username('automation-bot').personal_access_tokens.create(scopes: ['read_user', 'read_repository'], name: 'Automation token', expires_at: 365.days.from_now); token.set_token('token-string-here123'); token.save!"

프로그래밍 방식으로 개인 액세스 토큰 취소#

테스트 또는 자동화의 일부로 프로그래밍 방식으로 개인 액세스 토큰을 취소할 수 있습니다.

사전 요구 사항:

GitLab 인스턴스에 대해 Rails 콘솔 세션을 실행하기에 충분한 액세스 권한이 있어야 합니다.

프로그래밍 방식으로 토큰을 취소하려면:

Rails 콘솔을 엽니다:
```
sudo gitlab-rails console
```
token-string-here123의 토큰을 취소하려면 다음 명령을 실행합니다:
```
token = PersonalAccessToken.find_by_token('token-string-here123')
token.revoke!
```

이 코드는 Rails 러너를 사용하여 단일 줄 셸 명령으로 단축할 수 있습니다:

sudo gitlab-rails runner "PersonalAccessToken.find_by_token('token-string-here123').revoke!"

개인 액세스 토큰을 사용하여 저장소 복제#

SSH가 비활성화된 경우 다음 명령을 실행하여 개인 액세스 토큰을 사용하여 저장소를 복제합니다:

git clone https://<username>:<personal_token>@gitlab.com/gitlab-org/gitlab.git

이 방법은 개인 액세스 토큰을 bash 히스토리에 저장합니다. 이를 방지하려면 다음 명령을 실행합니다:

git clone https://<username>@gitlab.com/gitlab-org/gitlab.git

https://gitlab.com의 비밀번호를 요청하면 개인 액세스 토큰을 입력합니다.

clone 명령의 username:

어떤 문자열 값이든 가능합니다.
빈 문자열이어서는 안 됩니다.

인증에 의존하는 자동화 파이프라인을 설정하는 경우 이를 기억하세요.

개인 액세스 토큰의 대안#

HTTPS를 통한 Git의 경우 개인 액세스 토큰의 대안으로 OAuth 자격 증명 헬퍼를 사용할 수 있습니다.

CI/CD 작업의 인증에 대해서는 다음을 고려하세요:

파이프라인 인증을 위한 세분화된 권한이 있는 CI/CD 작업 토큰
프로젝트별 자동화를 위한 최소 필요 권한이 있는 프로젝트 액세스 토큰

개인 액세스 토큰

토큰 사용 정보 보기#

개인 액세스 토큰 만들기#

개인 액세스 토큰 세부 정보 미리 채우기#

개인 액세스 토큰 범위#

개인 액세스 토큰 교체#

개인 액세스 토큰 취소#

액세스 토큰 만료#

개인 액세스 토큰 만료 이메일#

개인 액세스 토큰 만료 캘린더#

만료 날짜 없이 서비스 계정 개인 액세스 토큰 만들기#

GitLab.com#

GitLab Self-Managed#

액세스 토큰 비활성화#

엔터프라이즈 사용자를 위한 개인 액세스 토큰 비활성화#

개인 액세스 토큰과 함께 DPoP 사용#

프로그래밍 방식으로 개인 액세스 토큰 만들기#

프로그래밍 방식으로 개인 액세스 토큰 취소#

개인 액세스 토큰을 사용하여 저장소 복제#

개인 액세스 토큰의 대안#

관련 항목#

토큰 사용 정보 보기#

개인 액세스 토큰 만들기#

개인 액세스 토큰 세부 정보 미리 채우기#

개인 액세스 토큰 범위#

개인 액세스 토큰 교체#

개인 액세스 토큰 취소#

액세스 토큰 만료#

개인 액세스 토큰 만료 이메일#

개인 액세스 토큰 만료 캘린더#

만료 날짜 없이 서비스 계정 개인 액세스 토큰 만들기#

GitLab.com#

GitLab Self-Managed#

액세스 토큰 비활성화#

엔터프라이즈 사용자를 위한 개인 액세스 토큰 비활성화#

개인 액세스 토큰과 함께 DPoP 사용#

프로그래밍 방식으로 개인 액세스 토큰 만들기#

프로그래밍 방식으로 개인 액세스 토큰 취소#

개인 액세스 토큰을 사용하여 저장소 복제#

개인 액세스 토큰의 대안#

관련 항목#