InfoGrab Docs

배포 토큰

요약

배포 토큰은 개별 사용자 계정에 권한을 연결하지 않고 GitLab 리소스에 안전하게 액세스할 수 있게 해줍니다. 배포 토큰을 사용하면 다음과 같은 이점이 있습니다: 배포 토큰은 두 가지 값의 쌍입니다: 배포 토큰은 SSH 인증을 지원하지 않습니다.

배포 토큰은 개별 사용자 계정에 권한을 연결하지 않고 GitLab 리소스에 안전하게 액세스할 수 있게 해줍니다. Git 작업, 컨테이너 레지스트리, 패키지 레지스트리와 함께 사용하여 배포 자동화에 필요한 액세스만 제공합니다.

배포 토큰을 사용하면 다음과 같은 이점이 있습니다:

  • 자동화 시스템에서 개인 자격 증명을 제거하여 더 안전한 배포
  • 각 토큰에 대한 특정 권한을 통한 세분화된 액세스 제어
  • 내장 인증 변수가 있는 간소화된 CI/CD 파이프라인
  • 팀 구성원이 변경되어도 중단되지 않는 신뢰할 수 있는 배포 프로세스
  • 전용 토큰 ID를 통한 배포 추적으로 향상된 감사 추적
  • 외부 빌드 시스템 및 배포 도구와의 원활한 통합

배포 토큰은 두 가지 값의 쌍입니다:

  • username: HTTP 인증 프레임워크의 username. 기본 사용자 이름 형식은 gitlab+deploy-token-{n}입니다. 배포 토큰을 만들 때 사용자 정의 사용자 이름을 지정할 수 있습니다.
  • token: HTTP 인증 프레임워크의 password.

배포 토큰은 SSH 인증을 지원하지 않습니다.

배포 토큰을 다음 엔드포인트에 대한 HTTP 인증에 사용할 수 있습니다:

프로젝트 또는 그룹 수준에서 배포 토큰을 만들 수 있습니다:

  • 프로젝트 배포 토큰: 권한은 해당 프로젝트에만 적용됩니다.
  • 그룹 배포 토큰: 권한은 그룹의 모든 프로젝트에 적용됩니다.

기본적으로 배포 토큰은 만료되지 않습니다. 만들 때 선택적으로 만료 날짜를 설정할 수 있습니다. 해당 날짜의 UTC 자정에 만료됩니다.

Warning

외부 인증이 활성화된 경우 Git 작업 및 패키지 레지스트리 작업에 새 또는 기존 배포 토큰을 사용할 수 없습니다.

범위#

배포 토큰의 범위는 수행할 수 있는 작업을 결정합니다.

범위 설명
read_repository git clone을 사용한 리포지터리에 대한 읽기 전용 액세스.
read_registry 프로젝트의 컨테이너 레지스트리에 있는 이미지에 대한 읽기 전용 액세스.
write_registry 프로젝트의 컨테이너 레지스트리에 대한 쓰기 액세스(푸시). 이미지를 푸시하려면 읽기 및 쓰기 액세스가 모두 필요합니다.
read_virtual_registry 프로젝트가 비공개이고 인증이 필요한 경우 디펜던시 프록시를 통한 컨테이너 이미지에 대한 읽기 전용(풀) 액세스를 부여합니다. 디펜던시 프록시가 활성화된 경우에만 사용 가능합니다.
write_virtual_registry 프로젝트가 비공개이고 인증이 필요한 경우 디펜던시 프록시를 통한 컨테이너 이미지에 대한 읽기(풀), 쓰기(푸시), 삭제 액세스를 부여합니다. 디펜던시 프록시가 활성화된 경우에만 사용 가능합니다.
read_package_registry 프로젝트의 패키지 레지스트리에 대한 읽기 전용 액세스.
write_package_registry 프로젝트의 패키지 레지스트리에 대한 쓰기 액세스.

GitLab 배포 토큰#

히스토리

GitLab 배포 토큰은 특별한 유형의 배포 토큰입니다. gitlab-deploy-token이라는 배포 토큰을 만들면 배포 토큰이 변수로 프로젝트 CI/CD 잡에 자동으로 노출됩니다:

  • CI_DEPLOY_USER: 사용자 이름
  • CI_DEPLOY_PASSWORD: 토큰

예를 들어, GitLab 토큰을 사용하여 GitLab 컨테이너 레지스트리에 로그인하려면:

echo "$CI_DEPLOY_PASSWORD" | docker login $CI_REGISTRY -u $CI_DEPLOY_USER --password-stdin
Note

GitLab 15.0 이하에서는 gitlab-deploy-token 배포 토큰에 대한 특별 처리가 그룹 배포 토큰에서 작동하지 않습니다. CI/CD 잡에서 그룹 배포 토큰을 사용 가능하게 하려면 Settings > CI/CD > Variables에서 CI_DEPLOY_USERCI_DEPLOY_PASSWORD CI/CD 변수를 그룹 배포 토큰의 이름과 토큰으로 설정합니다.

그룹에서 gitlab-deploy-token이 정의되면 CI_DEPLOY_USERCI_DEPLOY_PASSWORD CI/CD 변수는 그룹의 직접 하위 프로젝트에서만 사용할 수 있습니다.

배포 토큰 만료#

히스토리
  • GitLab 18.3에서 배포 토큰 만료를 위한 이메일 알림이 project_deploy_token_expiring_notifications라는 기능 플래그와 함께 도입. 기본적으로 비활성화됨.
Feature flag

이 기능의 사용 가능 여부는 기능 플래그에 의해 제어됩니다. 자세한 내용은 기록을 참조하세요.

배포 토큰은 정의한 날짜의 00:00 AM UTC에 만료됩니다.

GitLab은 매일 01:00 AM UTC에 곧 만료될 배포 토큰을 확인합니다. 이러한 토큰이 만료되기 60일, 30일, 7일 전에 프로젝트 소유자 및 유지 관리자에게 이메일로 알림이 전송됩니다.

이러한 이메일 알림은 활성(취소되지 않은) 배포 토큰에 대해 간격당 한 번만 전송됩니다.

GitLab 배포 토큰 보안#

GitLab 배포 토큰은 수명이 길기 때문에 공격자에게 매력적입니다.

배포 토큰 유출을 방지하려면 러너를 안전하게 구성해야 합니다:

  • 머신이 재사용되는 경우 Docker privileged 모드를 사용하지 마세요.
  • 잡이 동일한 머신에서 실행될 때 shell 익스큐터를 사용하지 마세요.

불안전한 GitLab Runner 구성은 다른 잡에서 토큰을 도난당할 위험을 증가시킵니다.

GitLab 공개 API#

배포 토큰은 GitLab 공개 API와 함께 사용할 수 없습니다. 그러나 패키지 레지스트리의 일부 엔드포인트와 같은 일부 엔드포인트와 함께 배포 토큰을 사용할 수 있습니다. URL에 packages/<format> 문자열이 있으면 엔드포인트가 패키지 레지스트리에 속한다는 것을 알 수 있습니다. 예: https://gitlab.example.com/api/v4/projects/24/packages/generic/my_package/0.0.1/file.txt. 자세한 내용은 레지스트리에 인증을 참조하세요.

배포 토큰 만들기#

사용자 계정과 독립적으로 실행할 수 있는 배포 작업을 자동화하기 위해 배포 토큰을 만듭니다.

사전 요건:

  • 그룹 배포 토큰을 만들려면 그룹에 대해 소유자(Owner) 권한이 있어야 합니다.
  • 프로젝트 배포 토큰을 만들려면 프로젝트에 대해 유지 관리자(Maintainer) 또는 소유자(Owner) 권한이 있어야 합니다.
  1. 상단 바에서 Search or go to를 선택하고 프로젝트 또는 그룹을 찾습니다.
  2. 왼쪽 사이드바에서 Settings > Repository를 선택합니다.
  3. Deploy tokens를 펼칩니다.
  4. Add token을 선택합니다.
  5. 필드를 입력하고 원하는 범위를 선택합니다.
  6. Create deploy token을 선택합니다.

배포 토큰의 값을 기록합니다. 페이지를 나가거나 새로 고침하면 다시 액세스할 수 없습니다.

배포 토큰 취소#

더 이상 필요하지 않은 경우 토큰을 취소합니다.

사전 요건:

  • 그룹 배포 토큰을 취소하려면 그룹에 대해 소유자(Owner) 권한이 있어야 합니다.
  • 프로젝트 배포 토큰을 취소하려면 프로젝트에 대해 유지 관리자(Maintainer) 또는 소유자(Owner) 권한이 있어야 합니다.

배포 토큰을 취소하려면:

  1. 상단 바에서 Search or go to를 선택하고 프로젝트 또는 그룹을 찾습니다.
  2. 왼쪽 사이드바에서 Settings > Repository를 선택합니다.
  3. Deploy tokens를 펼칩니다.
  4. Active Deploy Tokens 섹션에서 취소하려는 토큰 옆에서 Revoke를 선택합니다.

리포지터리 복제#

배포 토큰을 사용하여 리포지터리를 복제할 수 있습니다.

사전 요건:

  • read_repository 범위의 배포 토큰.

배포 토큰을 사용하여 리포지터리를 복제하는 예시:

git clone https://<username>:<deploy_token>@gitlab.example.com/tanuki/awesome_project.git

컨테이너 레지스트리에서 이미지 풀#

배포 토큰을 사용하여 컨테이너 레지스트리에서 이미지를 풀할 수 있습니다.

사전 요건:

  • read_registry 범위의 배포 토큰.

배포 토큰을 사용하여 컨테이너 레지스트리에서 이미지를 풀하는 예시:

echo "$DEPLOY_TOKEN" | docker login -u <username> --password-stdin registry.example.com
docker pull $CONTAINER_TEST_IMAGE

컨테이너 레지스트리에 이미지 푸시#

배포 토큰을 사용하여 컨테이너 레지스트리에 이미지를 푸시할 수 있습니다.

사전 요건:

  • read_registrywrite_registry 범위의 배포 토큰.

배포 토큰을 사용하여 컨테이너 레지스트리에 이미지를 푸시하는 예시:

echo "$DEPLOY_TOKEN" | docker login -u <username> --password-stdin registry.example.com
docker push $CONTAINER_TEST_IMAGE

패키지 레지스트리에서 패키지 풀#

배포 토큰을 사용하여 패키지 레지스트리에서 패키지를 풀할 수 있습니다.

사전 요건:

  • read_package_registry 범위의 배포 토큰.

선택한 패키지 유형에 대해 배포 토큰에 대한 인증 지침을 따릅니다.

GitLab 레지스트리에서 NuGet 패키지를 설치하는 예시:

nuget source Add -Name GitLab -Source "https://gitlab.example.com/api/v4/projects/10/packages/nuget/index.json" -UserName <username> -Password <deploy_token>
nuget install mypkg.nupkg

패키지 레지스트리에 패키지 푸시#

배포 토큰을 사용하여 GitLab 패키지 레지스트리에 패키지를 푸시할 수 있습니다.

사전 요건:

  • write_package_registry 범위의 배포 토큰.

선택한 패키지 유형에 대해 배포 토큰에 대한 인증 지침을 따릅니다.

패키지 레지스트리에 NuGet 패키지를 게시하는 예시:

nuget source Add -Name GitLab -Source "https://gitlab.example.com/api/v4/projects/10/packages/nuget/index.json" -UserName <username> -Password <deploy_token>
nuget push mypkg.nupkg -Source GitLab

디펜던시 프록시에서 이미지 풀#

배포 토큰을 사용하여 디펜던시 프록시에서 이미지를 풀할 수 있습니다.

사전 요건:

  • read_registrywrite_registry 범위의 배포 토큰.

디펜던시 프록시 인증 지침을 따릅니다.

배포 토큰

Tier: Free, Premium, Ultimate
Offering: GitLab.com, GitLab Self-Managed, GitLab Dedicated
원문 보기
요약

배포 토큰은 개별 사용자 계정에 권한을 연결하지 않고 GitLab 리소스에 안전하게 액세스할 수 있게 해줍니다. 배포 토큰을 사용하면 다음과 같은 이점이 있습니다: 배포 토큰은 두 가지 값의 쌍입니다: 배포 토큰은 SSH 인증을 지원하지 않습니다.

배포 토큰은 개별 사용자 계정에 권한을 연결하지 않고 GitLab 리소스에 안전하게 액세스할 수 있게 해줍니다. Git 작업, 컨테이너 레지스트리, 패키지 레지스트리와 함께 사용하여 배포 자동화에 필요한 액세스만 제공합니다.

배포 토큰을 사용하면 다음과 같은 이점이 있습니다:

  • 자동화 시스템에서 개인 자격 증명을 제거하여 더 안전한 배포
  • 각 토큰에 대한 특정 권한을 통한 세분화된 액세스 제어
  • 내장 인증 변수가 있는 간소화된 CI/CD 파이프라인
  • 팀 구성원이 변경되어도 중단되지 않는 신뢰할 수 있는 배포 프로세스
  • 전용 토큰 ID를 통한 배포 추적으로 향상된 감사 추적
  • 외부 빌드 시스템 및 배포 도구와의 원활한 통합

배포 토큰은 두 가지 값의 쌍입니다:

  • username: HTTP 인증 프레임워크의 username. 기본 사용자 이름 형식은 gitlab+deploy-token-{n}입니다. 배포 토큰을 만들 때 사용자 정의 사용자 이름을 지정할 수 있습니다.
  • token: HTTP 인증 프레임워크의 password.

배포 토큰은 SSH 인증을 지원하지 않습니다.

배포 토큰을 다음 엔드포인트에 대한 HTTP 인증에 사용할 수 있습니다:

프로젝트 또는 그룹 수준에서 배포 토큰을 만들 수 있습니다:

  • 프로젝트 배포 토큰: 권한은 해당 프로젝트에만 적용됩니다.
  • 그룹 배포 토큰: 권한은 그룹의 모든 프로젝트에 적용됩니다.

기본적으로 배포 토큰은 만료되지 않습니다. 만들 때 선택적으로 만료 날짜를 설정할 수 있습니다. 해당 날짜의 UTC 자정에 만료됩니다.

Warning

외부 인증이 활성화된 경우 Git 작업 및 패키지 레지스트리 작업에 새 또는 기존 배포 토큰을 사용할 수 없습니다.

범위#

배포 토큰의 범위는 수행할 수 있는 작업을 결정합니다.

범위 설명
read_repository git clone을 사용한 리포지터리에 대한 읽기 전용 액세스.
read_registry 프로젝트의 컨테이너 레지스트리에 있는 이미지에 대한 읽기 전용 액세스.
write_registry 프로젝트의 컨테이너 레지스트리에 대한 쓰기 액세스(푸시). 이미지를 푸시하려면 읽기 및 쓰기 액세스가 모두 필요합니다.
read_virtual_registry 프로젝트가 비공개이고 인증이 필요한 경우 디펜던시 프록시를 통한 컨테이너 이미지에 대한 읽기 전용(풀) 액세스를 부여합니다. 디펜던시 프록시가 활성화된 경우에만 사용 가능합니다.
write_virtual_registry 프로젝트가 비공개이고 인증이 필요한 경우 디펜던시 프록시를 통한 컨테이너 이미지에 대한 읽기(풀), 쓰기(푸시), 삭제 액세스를 부여합니다. 디펜던시 프록시가 활성화된 경우에만 사용 가능합니다.
read_package_registry 프로젝트의 패키지 레지스트리에 대한 읽기 전용 액세스.
write_package_registry 프로젝트의 패키지 레지스트리에 대한 쓰기 액세스.

GitLab 배포 토큰#

히스토리

GitLab 배포 토큰은 특별한 유형의 배포 토큰입니다. gitlab-deploy-token이라는 배포 토큰을 만들면 배포 토큰이 변수로 프로젝트 CI/CD 잡에 자동으로 노출됩니다:

  • CI_DEPLOY_USER: 사용자 이름
  • CI_DEPLOY_PASSWORD: 토큰

예를 들어, GitLab 토큰을 사용하여 GitLab 컨테이너 레지스트리에 로그인하려면:

echo "$CI_DEPLOY_PASSWORD" | docker login $CI_REGISTRY -u $CI_DEPLOY_USER --password-stdin
Note

GitLab 15.0 이하에서는 gitlab-deploy-token 배포 토큰에 대한 특별 처리가 그룹 배포 토큰에서 작동하지 않습니다. CI/CD 잡에서 그룹 배포 토큰을 사용 가능하게 하려면 Settings > CI/CD > Variables에서 CI_DEPLOY_USERCI_DEPLOY_PASSWORD CI/CD 변수를 그룹 배포 토큰의 이름과 토큰으로 설정합니다.

그룹에서 gitlab-deploy-token이 정의되면 CI_DEPLOY_USERCI_DEPLOY_PASSWORD CI/CD 변수는 그룹의 직접 하위 프로젝트에서만 사용할 수 있습니다.

배포 토큰 만료#

히스토리
  • GitLab 18.3에서 배포 토큰 만료를 위한 이메일 알림이 project_deploy_token_expiring_notifications라는 기능 플래그와 함께 도입. 기본적으로 비활성화됨.
Feature flag

이 기능의 사용 가능 여부는 기능 플래그에 의해 제어됩니다. 자세한 내용은 기록을 참조하세요.

배포 토큰은 정의한 날짜의 00:00 AM UTC에 만료됩니다.

GitLab은 매일 01:00 AM UTC에 곧 만료될 배포 토큰을 확인합니다. 이러한 토큰이 만료되기 60일, 30일, 7일 전에 프로젝트 소유자 및 유지 관리자에게 이메일로 알림이 전송됩니다.

이러한 이메일 알림은 활성(취소되지 않은) 배포 토큰에 대해 간격당 한 번만 전송됩니다.

GitLab 배포 토큰 보안#

GitLab 배포 토큰은 수명이 길기 때문에 공격자에게 매력적입니다.

배포 토큰 유출을 방지하려면 러너를 안전하게 구성해야 합니다:

  • 머신이 재사용되는 경우 Docker privileged 모드를 사용하지 마세요.
  • 잡이 동일한 머신에서 실행될 때 shell 익스큐터를 사용하지 마세요.

불안전한 GitLab Runner 구성은 다른 잡에서 토큰을 도난당할 위험을 증가시킵니다.

GitLab 공개 API#

배포 토큰은 GitLab 공개 API와 함께 사용할 수 없습니다. 그러나 패키지 레지스트리의 일부 엔드포인트와 같은 일부 엔드포인트와 함께 배포 토큰을 사용할 수 있습니다. URL에 packages/<format> 문자열이 있으면 엔드포인트가 패키지 레지스트리에 속한다는 것을 알 수 있습니다. 예: https://gitlab.example.com/api/v4/projects/24/packages/generic/my_package/0.0.1/file.txt. 자세한 내용은 레지스트리에 인증을 참조하세요.

배포 토큰 만들기#

사용자 계정과 독립적으로 실행할 수 있는 배포 작업을 자동화하기 위해 배포 토큰을 만듭니다.

사전 요건:

  • 그룹 배포 토큰을 만들려면 그룹에 대해 소유자(Owner) 권한이 있어야 합니다.
  • 프로젝트 배포 토큰을 만들려면 프로젝트에 대해 유지 관리자(Maintainer) 또는 소유자(Owner) 권한이 있어야 합니다.
  1. 상단 바에서 Search or go to를 선택하고 프로젝트 또는 그룹을 찾습니다.
  2. 왼쪽 사이드바에서 Settings > Repository를 선택합니다.
  3. Deploy tokens를 펼칩니다.
  4. Add token을 선택합니다.
  5. 필드를 입력하고 원하는 범위를 선택합니다.
  6. Create deploy token을 선택합니다.

배포 토큰의 값을 기록합니다. 페이지를 나가거나 새로 고침하면 다시 액세스할 수 없습니다.

배포 토큰 취소#

더 이상 필요하지 않은 경우 토큰을 취소합니다.

사전 요건:

  • 그룹 배포 토큰을 취소하려면 그룹에 대해 소유자(Owner) 권한이 있어야 합니다.
  • 프로젝트 배포 토큰을 취소하려면 프로젝트에 대해 유지 관리자(Maintainer) 또는 소유자(Owner) 권한이 있어야 합니다.

배포 토큰을 취소하려면:

  1. 상단 바에서 Search or go to를 선택하고 프로젝트 또는 그룹을 찾습니다.
  2. 왼쪽 사이드바에서 Settings > Repository를 선택합니다.
  3. Deploy tokens를 펼칩니다.
  4. Active Deploy Tokens 섹션에서 취소하려는 토큰 옆에서 Revoke를 선택합니다.

리포지터리 복제#

배포 토큰을 사용하여 리포지터리를 복제할 수 있습니다.

사전 요건:

  • read_repository 범위의 배포 토큰.

배포 토큰을 사용하여 리포지터리를 복제하는 예시:

git clone https://<username>:<deploy_token>@gitlab.example.com/tanuki/awesome_project.git

컨테이너 레지스트리에서 이미지 풀#

배포 토큰을 사용하여 컨테이너 레지스트리에서 이미지를 풀할 수 있습니다.

사전 요건:

  • read_registry 범위의 배포 토큰.

배포 토큰을 사용하여 컨테이너 레지스트리에서 이미지를 풀하는 예시:

echo "$DEPLOY_TOKEN" | docker login -u <username> --password-stdin registry.example.com
docker pull $CONTAINER_TEST_IMAGE

컨테이너 레지스트리에 이미지 푸시#

배포 토큰을 사용하여 컨테이너 레지스트리에 이미지를 푸시할 수 있습니다.

사전 요건:

  • read_registrywrite_registry 범위의 배포 토큰.

배포 토큰을 사용하여 컨테이너 레지스트리에 이미지를 푸시하는 예시:

echo "$DEPLOY_TOKEN" | docker login -u <username> --password-stdin registry.example.com
docker push $CONTAINER_TEST_IMAGE

패키지 레지스트리에서 패키지 풀#

배포 토큰을 사용하여 패키지 레지스트리에서 패키지를 풀할 수 있습니다.

사전 요건:

  • read_package_registry 범위의 배포 토큰.

선택한 패키지 유형에 대해 배포 토큰에 대한 인증 지침을 따릅니다.

GitLab 레지스트리에서 NuGet 패키지를 설치하는 예시:

nuget source Add -Name GitLab -Source "https://gitlab.example.com/api/v4/projects/10/packages/nuget/index.json" -UserName <username> -Password <deploy_token>
nuget install mypkg.nupkg

패키지 레지스트리에 패키지 푸시#

배포 토큰을 사용하여 GitLab 패키지 레지스트리에 패키지를 푸시할 수 있습니다.

사전 요건:

  • write_package_registry 범위의 배포 토큰.

선택한 패키지 유형에 대해 배포 토큰에 대한 인증 지침을 따릅니다.

패키지 레지스트리에 NuGet 패키지를 게시하는 예시:

nuget source Add -Name GitLab -Source "https://gitlab.example.com/api/v4/projects/10/packages/nuget/index.json" -UserName <username> -Password <deploy_token>
nuget push mypkg.nupkg -Source GitLab

디펜던시 프록시에서 이미지 풀#

배포 토큰을 사용하여 디펜던시 프록시에서 이미지를 풀할 수 있습니다.

사전 요건:

  • read_registrywrite_registry 범위의 배포 토큰.

디펜던시 프록시 인증 지침을 따릅니다.