Персональный токен доступа
Персональный токен доступа (значение cpt_pat_...) это то, как ты достаёшь Caputchin извне панели: HTTP API, сервер MCP и провайдер Terraform все аутентифицируются им как токеном Bearer. У твоего аккаунта ровно один, он бесплатный, и ты управляешь им из настроек аккаунта.
Он отличен от секрета ключа сайта (cpt_sec_...), который только для рантаймовой проверки. Персональный токен доступа для управления твоим аккаунтом; секрет сайта для проверки токенов одного ключа. У них очень разные радиусы поражения, так что обращайся с персональным токеном доступа с большей осторожностью.
Что он может
Персональный токен доступа несёт твой собственный полный доступ. Это мастер-учётные данные для твоего аккаунта, так что всё, что ты можешь делать в панели, он может делать через API, MCP или Terraform:
- Создавать, переименовывать и удалять команды.
- Управлять участниками и их правами в любой из твоих команд.
- Создавать, настраивать и удалять ключи сайта и обновлять их секреты.
- Настраивать размещённую проверку, настройку игр и безопасность.
- Выпускать, обновлять и отзывать другие токены, включая токены доступа команды.
- Смотреть места и настройки уровня аккаунта.
Что он не может
- Оплата. Изменения тарифа, платёж и отмена только в панели и никогда не выставляются никакому токену. Смотри оплату.
- Достать другой аккаунт. Он действует только внутри твоего собственного аккаунта; он не может коснуться ресурсов, которыми ты не владеешь.
- Пережить отзыв. После отзыва или обновления старое значение перестаёт аутентифицировать при следующем использовании.
Сильнее, чем токен доступа команды
Есть два вида токена, и персональный токен доступа более мощный:
| Персональный токен доступа | Токен доступа команды | |
|---|---|---|
| Охват | Мастер над всем аккаунтом, каждой командой и каждым сайтом | Только конкретные команды, к которым он привязан, с выданными там правами |
| Сколько | Ровно один на аккаунт | Столько, сколько позволяют твои места |
| Стоимость | Бесплатно | Занимает место из твоего пула |
| Может выпускать другие токены | Да | Нет |
| Лучше всего для | Твоей собственной автоматизации и infrastructure-as-code по всему аккаунту | Выдачи товарищу или сервису доступа с охватом и наименьшими привилегиями к определённым командам |
Тянись к токену доступа команды, когда хочешь выдать узкий доступ с наименьшими привилегиями; тянись к персональному токену доступа, когда автоматизируешь свой собственный аккаунт от начала до конца. Токены доступа команды покрыты под командами.
Управление им
Ты выпускаешь, обновляешь и отзываешь токен из настроек аккаунта:
- Выпустить создаёт токен. Его значение показывается один раз, при создании; скопируй его тогда, потому что Caputchin хранит только хеш и не может показать его снова.
- Обновить меняет секрет на месте. Id и имя остаются те же; старое значение перестаёт работать немедленно, так что обнови везде, где ты его используешь.
- Отозвать отключает его. Следующий запрос со старым значением сбоит.
Отслеживание его использования в журналах аудита
На тарифе Apex каждое действие, которое предпринимает токен, в журналах аудита, приписанное токену по имени (а не браузерной сессии), так что ты можешь отличить автоматизацию от человека.
- Собственный жизненный цикл токена (выпуск, обновление, отзыв) в журнале аккаунта как
account.pat.mint,account.pat.rotateиaccount.pat.revoke. - Всё, что токен затем делает, записывается на уровне, которого он коснулся, с токеном как актёром: изменения команды в журнале команды, изменения ключа сайта в журнале ключа сайта.
В любом журнале отфильтруй актёра до персональных токенов доступа (или ищи имя токена), чтобы увидеть ровно, что он сделал, и включи отказанные попытки, чтобы поймать всё, что он пытался, но что ему не было дозволено сделать.
См. также
- Настройки аккаунта: где ты выпускаешь, обновляешь и отзываешь его.
- Автоматизация: использование токена с API, MCP и Terraform.
- Журналы аудита: отслеживание того, что сделал токен.