团队
团队访问令牌
团队访问令牌是一份从仪表盘外部触及一个团队(API、MCP 或 Terraform)而不使用某个人登录的凭据。对一条 CI 流水线、一个脚本或一个服务来说,它是正确的选择:它只在你把它附上的那些团队内行动,带着你选定的权限,而且不依赖于任何一名员工的账户。
它是一种 cpt_pat_... 令牌,但限定了范围,并且区别于你的 个人访问令牌,后者是账户范围的、主令牌。这个对比值得理清:
| 团队访问令牌 | 个人访问令牌 | |
|---|---|---|
| 触及范围 | 只有它被附上的那些团队,带着授予的权限和范围 | 主控你整个账户、每个团队和密钥 |
| 多少个 | 你的席位允许多少就多少 | 每个账户恰好一个 |
| 成本 | 占一个 席位 | 免费 |
| 最适合 | 限定范围、最小权限的自动化;服务和 CI 访问 | 你自己的全账户自动化和基础设施即代码 |
一个团队令牌能做什么
一个团队令牌持有和一个人类成员一样的 四种权限和同样的范围,以同样的方式设置。比如说,授予一个 CI 令牌限定到一个密钥的 编辑,那它能碰的就只有这些。除非你授予 管理,否则它无法管理成员或其他令牌,而且它绝不触及另一个团队或另一个账户。
管理令牌
在团队的令牌界面上(你需要 管理 权限):
- 签发 一个令牌。它的值只 显示一次,在创建时;那时就复制它,因为 Caputchin 只存储一个哈希,无法再次显示它。
- 把一个现有令牌 附 到团队上,或把它 分离,带着它的权限和范围。
- 轮换 一个令牌以就地替换它的密钥(旧值立即停止工作),或 吊销 它以停用它。
每个附上的令牌从你的 池 里占一个席位。在 Apex 上,签发、附上、分离、轮换和吊销全都记录在 团队审计日志 里。