Personal Access Token
Personal Access Token(cpt_pat_... の値)は、ダッシュボードの外側から Caputchin に到達する方法です。HTTP API、MCP サーバー、Terraform プロバイダー のすべてが、それを Bearer トークンとして認証します。あなたのアカウントはちょうど 1 つ持ち、それは無料で、アカウント設定 から管理します。
それは、実行時の 検証 のためだけのサイトキーのシークレット(cpt_sec_...)とは別物です。Personal Access Token はアカウントの管理のためで、サイトのシークレットは単一のキーのトークンを確認するためです。それらは非常に異なる影響範囲を持つので、Personal Access Token はより注意して扱ってください。
できること
Personal Access Token はあなた自身の完全なアクセスを運びます。それはあなたのアカウントの マスター 資格情報なので、ダッシュボードでできることなら何でも、API、MCP、Terraform 越しにできます:
- チームを作成、改名、削除する。
- あなたのどのチームでも、メンバーとその権限を管理する。
- サイトキーを作成、設定、削除し、そのシークレットをローテーションする。
- ホスト型認証、ゲームのカスタマイズ、セキュリティ を設定する。
- チームアクセストークンを含む、ほかのトークンを発行、ローテーション、失効する。
- シートとアカウントレベルの設定を見る。
できないこと
- 請求。 プランの変更、支払い、解約はダッシュボードのみで、どのトークンにも決して公開されません。請求 を参照。
- 別のアカウントに到達する。 それはあなた自身のアカウントの中でしか動かず、あなたが所有しないリソースに触れられません。
- 失効を生き延びる。 失効またはローテーションされると、古い値は次の使用で認証をやめます。
チームアクセストークンより強い
2 種類のトークンがあり、Personal Access Token がより強力です:
| Personal Access Token | Troop Access Token | |
|---|---|---|
| スコープ | アカウント全体、すべてのチームとすべてのサイトへの マスター | 紐づけられた特定のチームだけ、そこで付与された権限で |
| いくつ | アカウントにつきちょうど 1 つ | あなたのシートが許す限り |
| コスト | 無料 | あなたのプールからシートを取る |
| ほかのトークンを発行できるか | はい | いいえ |
| 最適な用途 | アカウント全体にわたるあなた自身の自動化と infrastructure-as-code | 仲間やサービスに、特定のチームへのスコープづけされた最小権限のアクセスを与える |
狭い、最小権限のアクセスを付与したいときは Troop Access Token に、自分のアカウントを端から端まで自動化しているときは Personal Access Token に手を伸ばしてください。Troop Access Tokens は チーム の下で扱われます。
それを管理する
トークンは アカウント設定 から発行、ローテーション、失効します:
- 発行 がトークンを作ります。その値は作成時に 一度 表示されます。そのときにコピーしてください。Caputchin はハッシュだけを保存し、二度と表示できないからです。
- ローテーション はシークレットをその場で入れ替えます。id と名前は同じままで、古い値は即座に動かなくなるので、使っているところを更新してください。
- 失効 はそれを無効にします。古い値での次のリクエストは失敗します。
監査ログでその使用を追跡する
Apex プランでは、トークンが取るすべての行動が 監査ログ にあり、(ブラウザのセッションではなく)名前でトークンに帰属するので、自動化を人と見分けられます。
- トークン自身のライフサイクル(発行、ローテーション、失効)は、アカウントログ に
account.pat.mint、account.pat.rotate、account.pat.revokeとしてあります。 - それからトークンがすることは、トークンをアクターとして、それが触れたレベルに記録されます。チームの変更は チームログ、サイトキーの変更は サイトキーログ に。
どのログでも、アクターを Personal Access Tokens に絞る(またはトークンの名前を検索する)と、それが何をしたかを正確に見られ、拒否された試みをオンにすると、それが試みたが許されなかったものを捕らえられます。