Personal Access Token

Un Personal Access Token (une valeur cpt_pat_...) est la façon dont tu atteins Caputchin depuis l'extérieur du tableau de bord : l'API HTTP, le serveur MCP et le provider Terraform s'authentifient tous avec lui comme jeton Bearer. Ton compte en a exactement un, il est gratuit, et tu le gères depuis les paramètres du compte.

Il est distinct du secret d'une clé de site (cpt_sec_...), qui ne sert qu'à la vérification à l'exécution. Le Personal Access Token sert à gérer ton compte ; le secret de site sert à vérifier les tokens d'une seule clé. Ils ont des rayons d'impact très différents, donc traite le Personal Access Token avec plus de soin.

Ce qu'il peut faire

Le Personal Access Token porte ton propre accès complet. C'est l'identifiant maître de ton compte, donc tout ce que tu peux faire dans le tableau de bord, il peut le faire via l'API, MCP ou Terraform :

• Créer, renommer et supprimer des équipes.
• Gérer les membres et leurs permissions dans n'importe laquelle de tes équipes.
• Créer, configurer et supprimer des clés de site, et faire tourner leurs secrets.
• Configurer la vérification hébergée, la personnalisation des jeux et la sécurité.
• Générer, faire tourner et révoquer d'autres jetons, y compris des Troop Access Tokens.
• Voir les sièges et les réglages au niveau du compte.

Ce qu'il ne peut pas faire

• Facturation. Les changements d'offre, le paiement et l'annulation sont tableau-de-bord-seulement et ne sont jamais exposés à un jeton. Vois facturation.
• Atteindre un autre compte. Il n'agit jamais qu'au sein de ton propre compte ; il ne peut pas toucher des ressources que tu ne possèdes pas.
• Survivre à la révocation. Une fois révoquée ou tournée, l'ancienne valeur cesse d'authentifier à sa prochaine utilisation.

Plus puissant qu'un Troop Access Token

Il y a deux types de jeton, et le Personal Access Token est le plus puissant :

Tends la main vers un Troop Access Token quand tu veux accorder un accès étroit et de moindre privilège ; tends la main vers le Personal Access Token quand tu automatises ton propre compte de bout en bout. Les Troop Access Tokens sont couverts sous équipes.

Le gérer

Tu génères, fais tourner et révoques le jeton depuis les paramètres du compte :

• Générer crée le jeton. Sa valeur est montrée une fois, à la création ; copie-la à ce moment, parce que Caputchin n'en stocke qu'un hash et ne peut jamais la remontrer.
• Faire tourner échange le secret sur place. L'id et le nom restent les mêmes ; l'ancienne valeur cesse de fonctionner immédiatement, donc mets à jour partout où tu l'utilises.
• Révoquer le désactive. La prochaine requête avec l'ancienne valeur échoue.

Tracer son usage dans les journaux d'audit

Sur l'offre Apex, chaque action que le jeton prend est sur les journaux d'audit, attribuée au jeton par son nom (pas à une session de navigateur), donc tu peux distinguer l'automatisation d'une personne.

• Le cycle de vie propre du jeton (génération, rotation, révocation) est sur le journal du compte comme account.pat.mint, account.pat.rotate et account.pat.revoke.
• Tout ce que le jeton fait ensuite est enregistré sur le niveau qu'il a touché, avec le jeton comme acteur : les changements d'équipe sur le journal de l'équipe, les changements de clé de site sur le journal de la clé de site.

Dans n'importe quel journal, filtre l'acteur sur les Personal Access Tokens (ou cherche le nom du jeton) pour voir exactement ce qu'il a fait, et active les tentatives refusées pour attraper tout ce qu'il a tenté mais n'était pas autorisé à faire.

Voir aussi

• Paramètres du compte : où tu le génères, le fais tourner et le révoques.
• Automatisation : utiliser le jeton avec l'API, MCP et Terraform.
• Journaux d'audit : tracer ce que le jeton a fait.