Troop Access Tokens
Un Troop Access Token est un identifiant pour atteindre une équipe depuis l'extérieur du tableau de bord (l'API, MCP ou Terraform) sans utiliser la connexion d'une personne. C'est le bon choix pour un pipeline CI, un script ou un service : il agit seulement dans les équipes auxquelles tu l'attaches, avec les permissions que tu choisis, et il ne dépend du compte d'aucun employé.
C'est un type de jeton cpt_pat_..., mais limité, et distinct de ton Personal Access Token, qui est à l'échelle du compte et maître. Le contraste mérite d'être gardé clair :
| Troop Access Token | Personal Access Token | |
|---|---|---|
| Portée | Seulement les équipes auxquelles il est attaché, avec les permissions et la portée accordées | Maître sur tout ton compte, chaque équipe et chaque clé |
| Combien | Autant que tes sièges le permettent | Exactement un par compte |
| Coût | Prend un siège | Gratuit |
| Idéal pour | Automatisation limitée et de moindre privilège ; accès de service et CI | Ta propre automatisation pleine-compte et l'infrastructure-as-code |
Ce qu'un Troop Token peut faire
Un Troop Token détient les mêmes quatre permissions et la même portée qu'un membre humain, réglées de la même façon. Accorde à un jeton CI Modifier limité à une clé, par exemple, et c'est tout ce qu'il peut toucher. Il ne peut gérer ni les membres ni les autres jetons à moins que tu n'accordes Gérer l'équipe, et il n'atteint jamais une autre équipe ni un autre compte.
Gérer les jetons
Sur la surface des jetons de l'équipe (il te faut la permission Gérer l'équipe) :
- Émettre un jeton. Sa valeur n'est montrée qu'une fois, à la création ; copie-la à ce moment, parce que Caputchin n'en stocke qu'un hash et ne peut pas la remontrer.
- Attacher un jeton existant à l'équipe, ou le détacher, avec ses permissions et sa portée.
- Faire tourner un jeton pour échanger son secret sur place (l'ancienne valeur cesse de fonctionner immédiatement), ou le révoquer pour le désactiver.
Chaque jeton attaché prend un siège de ton pool. Sur Apex, l'émission, l'attachement, le détachement, la rotation et la révocation sont tous consignés dans le journal d'audit de l'équipe.
Voir aussi
- Personal Access Token : l'unique jeton maître du compte, gratuit, sans siège.
- Permissions et portée : ce qu'un jeton peut se voir accorder.
- Automatisation : utiliser un jeton avec l'API, MCP et Terraform.