Alauda Container Security
  • Русский

    • Конфигурация API токена

    Alauda Container Security требует API токены для интеграций системы, аутентификации и различных функций системы. Вы можете управлять токенами через веб-интерфейс Alauda Container Security.

    Содержание

    Основные моментыПроцедураИстечение срока действия токена и уведомленияНастройка параметров уведомлений

    Основные моменты

    • Чтобы предотвратить повышение привилегий, при создании нового токена разрешения вашей роли ограничивают разрешения, которые вы можете назначить этому токену. Например, если у вас есть только разрешение read для ресурса Integration, вы не сможете создать токен с разрешением write.
    • Если вы хотите, чтобы пользователь с кастомной ролью мог создавать токены для других пользователей, необходимо назначить этой кастомной роли соответствующие разрешения.
    • Используйте краткоживущие токены для взаимодействия машина-машина, например, для CI/CD пайплайнов, скриптов и автоматизации. Для взаимодействия человек-машина, например, доступа через CLI или API, используйте команду roxctl central login.
    • Большинство облачных провайдеров поддерживают OIDC identity tokens, такие как Microsoft Entra ID, Google Cloud Identity Platform и AWS Cognito. OIDC identity tokens, выданные этими сервисами, могут использоваться для краткоживущего доступа в Alauda Container Security.

    Процедура

    1. В портале Alauda Container Security перейдите в Platform Configuration > Integrations.

    2. Прокрутите до категории Authentication Tokens и нажмите API Token.

    3. Нажмите Generate Token.

    4. Введите имя токена и выберите роль, которая предоставляет необходимый уровень доступа (например, Continuous Integration или Sensor Creator).

    5. Нажмите Generate.

      Важно:
      Скопируйте сгенерированный токен и сохраните его в надежном месте. Вы не сможете просмотреть его снова.

    Истечение срока действия токена и уведомления

    API токены истекают через один год с даты создания. Alauda Container Security уведомляет вас в веб-интерфейсе и отправляет сообщения в логи Central, когда срок действия токена истекает менее чем через неделю. Процесс отправки логов запускается раз в час. Один раз в день процесс формирует список токенов, срок действия которых истекает, и создает для каждого из них лог-сообщение. Лог-сообщения выдаются один раз в день и отображаются в логах Central.

    Формат лог-сообщения:

    Warn: API Token [token name] (ID [token ID]) will expire in less than X days.

    Настройка параметров уведомлений

    Вы можете изменить настройки по умолчанию для процесса отправки лог-сообщений, настроив следующие переменные окружения:

    Переменная окруженияЗначение по умолчаниюОписание
    ROX_TOKEN_EXPIRATION_NOTIFIER_INTERVAL1hЧастота, с которой фоновый процесс проверяет и логирует истекающие токены.
    ROX_TOKEN_EXPIRATION_NOTIFIER_BACKOFF_INTERVAL24hЧастота, с которой выдаются уведомления об истекающих токенах.
    ROX_TOKEN_EXPIRATION_DETECTION_WINDOW168hПериод времени до истечения срока действия токена, при котором срабатывает уведомление (по умолчанию: 1 неделя).