Token de acesso pessoal
Um token de acesso pessoal (um valor cpt_pat_...) é como você alcança a Caputchin de fora do painel: a API HTTP, o servidor MCP e o provedor Terraform todos se autenticam com ele como um token Bearer. Sua conta tem exatamente um, ele é grátis, e você o gerencia pelas configurações da conta.
Ele é distinto do segredo de uma chave de site (cpt_sec_...), que é só para a verificação em tempo de execução. O token de acesso pessoal é para gerenciar sua conta; o segredo do site é para conferir os tokens de uma única chave. Eles têm raios de impacto bem diferentes, então trate o token de acesso pessoal com mais cuidado.
O que ele pode fazer
O token de acesso pessoal carrega o seu próprio acesso completo. Ele é a credencial mestre da sua conta, então qualquer coisa que você consegue fazer no painel, ele consegue fazer pela API, MCP ou Terraform:
- Criar, renomear e excluir equipes.
- Gerenciar membros e suas permissões em qualquer das suas equipes.
- Criar, configurar e excluir chaves de site, e rotacionar seus segredos.
- Configurar a verificação hospedada, a personalização de jogo e a segurança.
- Acunhar, rotacionar e revogar outros tokens, inclusive tokens de acesso de equipe.
- Ver assentos e configurações de nível de conta.
O que ele não pode fazer
- Faturamento. Mudanças de plano, pagamento e cancelamento são só no painel e nunca são expostos a nenhum token. Veja faturamento.
- Alcançar outra conta. Ele só age dentro da sua própria conta; não consegue tocar recursos que você não detém.
- Sobreviver à revogação. Uma vez revogado ou rotacionado, o valor antigo para de autenticar no seu próximo uso.
Mais forte que um token de acesso de equipe
Há dois tipos de token, e o token de acesso pessoal é o mais poderoso:
| Token de acesso pessoal | Token de acesso de equipe | |
|---|---|---|
| Escopo | Mestre sobre toda a conta, cada equipe e cada site | Só as equipes específicas a que está ligado, com as permissões concedidas ali |
| Quantos | Exatamente um por conta | Quantos seus assentos permitirem |
| Custo | Grátis | Ocupa um assento do seu pool |
| Pode acunhar outros tokens | Sim | Não |
| Melhor para | Sua própria automação e infraestrutura como código sobre toda a conta | Dar a um colega ou serviço acesso delimitado, de menor privilégio, a certas equipes |
Recorra a um token de acesso de equipe quando quiser conceder acesso estreito, de menor privilégio; recorra ao token de acesso pessoal quando estiver automatizando a sua própria conta de ponta a ponta. Os tokens de acesso de equipe são cobertos em equipes.
Gerenciando-o
Você acunha, rotaciona e revoga o token pelas configurações da conta:
- Acunhar cria o token. Seu valor é mostrado uma vez, na criação; copie-o ali, porque a Caputchin guarda só um hash e nunca consegue mostrá-lo de novo.
- Rotacionar troca o segredo no lugar. O id e o nome ficam os mesmos; o valor antigo para de funcionar na hora, então atualize onde você o usa.
- Revogar o desativa. A próxima requisição com o valor antigo falha.
Rastreando seu uso nos registros de auditoria
No plano Apex, toda ação que o token toma está nos registros de auditoria, atribuída ao token por nome (não a uma sessão de navegador), para que você distinga a automação de uma pessoa.
- O próprio ciclo de vida do token (acunhar, rotacionar, revogar) está no registro de conta como
account.pat.mint,account.pat.rotateeaccount.pat.revoke. - Qualquer coisa que o token então faz é registrada no nível que ele tocou, com o token como o ator: mudanças de equipe no registro de equipe, mudanças de chave de site no registro de chave de site.
Em qualquer registro, filtre o ator para tokens de acesso pessoal (ou busque o nome do token) para ver exatamente o que ele fez, e ligue as tentativas negadas para pegar qualquer coisa que ele tentou mas não tinha permissão de fazer.
Veja também
- Configurações da conta: onde você o acunha, rotaciona e revoga.
- Automação: usar o token com a API, o MCP e o Terraform.
- Registros de auditoria: rastrear o que o token fez.