このトピックでは、アクセストークンのセキュリティガイドラインについて説明します。
アクセストークンのセキュリティを確保するため、Alibaba Cloud DevOps はトークンが最初に作成されて返されたときにのみトークンを表示します。後続のリクエストでは、ユーザーは元のトークンを再度取得することはできません。 Alibaba Cloud DevOps はトークンを暗号化して保存し、保存中のセキュリティを確保します。
注:トークンをリクエストして使用するときは、最小限の権限付与、安全な保管、などのセキュリティガイドラインに従って、潜在的なセキュリティリスクを軽減してください。
トークンの権限付与
トークンを作成するときは、トークンの権限と有効期間を選択します。最小権限の原則(PoLP)に従って、対象となる用途に必要な権限のみを付与し、有効期間を必要な最短の間隔に設定します。永続的に設定しないでください。
トークンは作成者の最大アクセス権と操作機能を継承しますが、実際の権限は作成時に選択された API スコープによって制限されます。トークンはユーザーに追加のアクセス権限を付与することはできません。
安全な保管
認証資格情報は、パスワードやその他の機密情報と同じ方法で処理します。
メール、IM、その他の通信ツールなど、暗号化されていないメッセージやシステムを介してトークンを共有しないでください。
コマンドラインでトークンにプレーンテキストを使用しないでください。
パブリックコードリポジトリなど、制御されていないシステムに暗号化されていないトークンを追加しないでください。
慎重な使用
コードにトークンをハードコードしたり、パブリックリポジトリで共有したりしないでください。トークンは環境変数に保存し、これらの変数を使用して API リクエストにトークンを追加します。これにより、不正アクセスによるトークンの漏洩を回避し、データ漏洩のリスクを軽減できます。
永続トークンを使用しないでください。トークンを定期的に更新してください。
トークンが漏洩していることが判明した場合は、すぐに削除してください。