API 令牌配置
Alauda 容器安全需要 API 令牌用于系统集成、身份验证和各种系统功能。您可以通过 Alauda 容器安全的 Web 界面管理令牌。
目录
关键点
- 为了防止权限提升,当您创建新令牌时,您角色的权限限制了您可以分配给该令牌的权限。例如,如果您仅对集成资源具有
read权限,则无法创建具有write权限的令牌。 - 如果您希望自定义角色为其他用户创建令牌,则必须为该自定义角色分配所需的权限。
- 对于机器间通信(如 CI/CD 管道、脚本和自动化),请使用短期令牌。对于人机通信(如 CLI 或 API 访问),请使用
roxctl central login命令。 - 大多数云服务提供商支持 OIDC 身份令牌,例如 Microsoft Entra ID、Google Cloud Identity Platform 和 AWS Cognito。这些服务颁发的 OIDC 身份令牌可用于 Alauda 容器安全的短期访问。
操作步骤
-
在 Alauda 容器安全门户中,转到 平台配置 > 集成。
-
滚动到 身份验证令牌 类别并点击 API 令牌。
-
点击 生成令牌。
-
输入令牌名称并选择提供所需访问级别的角色(例如,持续集成或 传感器创建者)。
-
点击 生成。
重要:
复制生成的令牌并安全存储。您将无法再次查看它。
令牌过期和通知
API 令牌在创建日期一年后过期。当令牌将在一周内过期时,Alauda 容器安全会在 Web 界面中提醒您,并通过向 Central 发送日志消息进行通知。日志消息处理每小时运行一次。每天,该过程会列出即将过期的令牌,并为每个令牌创建一条日志消息。日志消息每天发布一次,并出现在 Central 日志中。
日志消息格式:
配置通知设置
您可以通过配置以下环境变量更改日志消息处理的默认设置:
| 环境变量 | 默认值 | 描述 |
|---|---|---|
| ROX_TOKEN_EXPIRATION_NOTIFIER_INTERVAL | 1h | 后台进程检查和记录即将过期令牌的频率。 |
| ROX_TOKEN_EXPIRATION_NOTIFIER_BACKOFF_INTERVAL | 24h | 发布即将过期令牌通知的频率。 |
| ROX_TOKEN_EXPIRATION_DETECTION_WINDOW | 168h | 触发通知的令牌过期前的时间段(默认:1 周)。 |