개인 액세스 토큰
Offering: GitLab.com, Self-managed, GitLab Dedicated
개인 액세스 토큰은 OAuth2의 대안으로 사용되며 다음과 같이 사용할 수 있습니다:
- GitLab API를 통한 인증.
- HTTP Basic Authentication을 사용하여 Git과 인증.
두 경우 모두 비밀번호 대신 개인 액세스 토큰으로 인증합니다.
개인 액세스 토큰은 다음과 같습니다:
- 이중 인증 (2FA) 또는 SAML이 활성화된 경우 필요합니다.
- GitLab 기능을 사용하기 위해 GitLab 사용자 이름과 함께 사용됩니다. 예를 들어, GitLab 관리 Terraform 상태 백엔드 및 Docker 컨테이너 레지스트리와 같은 기능입니다.
- 프로젝트 액세스 토큰 및 그룹 액세스 토큰과 유사하지만, 프로젝트 또는 그룹이 아닌 사용자에 연결됩니다.
API를 사용하여 개인 액세스 토큰을 사용하여 인증하는 방법에 대한 예제는 API 문서를 참조하십시오.
또는, GitLab 관리자는 API를 사용하여 임의로 토큰을 생성할 수 있습니다. 임의로 토큰을 사용하여 특정 사용자로 인증을 자동화할 수 있습니다.
개인 액세스 토큰 생성
원하는만큼 개인 액세스 토큰을 생성할 수 있습니다.
- 왼쪽 사이드바에서 아바타를 선택합니다.
- 프로필 편집을 선택합니다.
- 왼쪽 사이드바에서 액세스 토큰을 선택합니다.
- 새 토큰 추가를 선택합니다.
- 토큰의 이름과 만료 날짜를 입력합니다.
- 해당 날짜에 토큰이 자정 UTC에 만료됩니다.
- 만료 날짜를 입력하지 않으면, 만료 날짜는 자동으로 현재 날짜로부터 365일 후로 설정됩니다.
- 기본적으로 이 날짜는 현재 날짜로부터 최대 365일 후일 수 있습니다.
- 원하는 스코프를 선택합니다.
- 개인 액세스 토큰 생성을 선택합니다.
개인 액세스 토큰은 안전한 곳에 저장하세요. 페이지를 나가면 토큰에 더 이상 액세스할 수 없습니다.
개인 액세스 토큰 이름과 스코프 미리 채우기
개인 액세스 토큰 페이지로 직접 링크를 걸고 이름과 스코프 디렉터리을 미리 채울 수 있습니다. 이를 위해서 링크에 name
매개변수와 쉼표로 구분된 스코프 디렉터리을 추가할 수 있습니다. 예를 들어:
https://gitlab.example.com/-/user_settings/personal_access_tokens?name=Example+Access+token&scopes=api,read_user,read_registry
개인 액세스 토큰 취소
언제든지 개인 액세스 토큰을 취소할 수 있습니다.
- 왼쪽 사이드바에서 아바타를 선택합니다.
- 프로필 편집을 선택합니다.
- 왼쪽 사이드바에서 액세스 토큰을 선택합니다.
- 활성 개인 액세스 토큰 영역에서 해당 토큰에 대해 취소를 선택합니다.
- 확인 대화상자에서 취소를 선택합니다.
개인 액세스 토큰 비활성화
Offering: Self-managed, GitLab Dedicated
전제 조건:
- 관리자여야 합니다.
GitLab 15.7 이상에서 애플리케이션 설정 API를 사용하여 개인 액세스 토큰을 비활성화할 수 있습니다.
마지막으로 토큰을 사용한 시간 확인
토큰 사용 정보는 10분마다 업데이트됩니다. GitLab은 토큰 사용 시 다음과 같은 경우 토큰이 사용된 것으로 간주합니다:
토큰이 마지막으로 사용된 시간을 확인하려면:
- 왼쪽 사이드바에서 아바타를 선택합니다.
- 프로필 편집을 선택합니다.
- 왼쪽 사이드바에서 액세스 토큰을 선택합니다.
- 활성 개인 액세스 토큰 영역에서 해당 토큰의 마지막 사용 날짜를 확인합니다.
개인 액세스 토큰 범위
- 개인 액세스 토큰은 더 이상 GitLab 16.0에서 도입된 이슈에서 컨테이너 및 패키지 레지스트리에 액세스할 수 없게 됩니다.
k8s_proxy
는 GitLab 16.4에서 도입되었으며,k8s_proxy_pat
이라는 플래그로 제공됩니다. 기본적으로 활성화됩니다.- 피처 플래그
k8s_proxy_pat
은 GitLab 16.5에서 제거되었습니다.
개인 액세스 토큰은 할당된 범위를 기반으로 작업을 수행할 수 있습니다.
범위 | 액세스 |
---|---|
api
| API에 대한 완전한 읽기/쓰기 액세스를 제공하며, 모든 그룹 및 프로젝트, 컨테이너 레지스트리, 의존성 프록시 및 패키지 레지스트리에 대한 완전한 읽기/쓰기 액세스를 포함합니다. 또한 Git을 통해 리포지터리 및 레지스트리에 대한 완전한 읽기/쓰기 액세스를 제공합니다. |
read_user
|
/user API 엔드포인트를 통해 인증된 사용자의 프로필에 대한 읽기 전용 액세스를 제공하며, 유저명, 공개 이메일 및 전체 이름을 포함합니다. 또한 /users 아래의 읽기 전용 API 엔드포인트에 대한 액세스를 제공합니다.
|
read_api
| 모든 그룹 및 프로젝트, 컨테이너 레지스트리 및 패키지 레지스트리에 대한 읽기 액세스를 제공합니다. (GitLab 12.10에서 도입됨) |
read_repository
| Git-over-HTTP 또는 Repository Files API를 사용하여 비공개 프로젝트의 리포지터리에 대한 읽기 전용 액세스를 제공합니다. |
write_repository
| Git-over-HTTP를 사용하여 비공개 프로젝트의 리포지터리에 대한 읽기/쓰기 액세스를 제공합니다(API를 사용하지 않음). |
read_registry
| 프로젝트가 비공개이고 인가가 필요한 경우 컨테이너 레지스트리 이미지에 대한 읽기 전용(풀) 액세스를 제공합니다. 컨테이너 레지스트리가 활성화된 경우에만 사용할 수 있습니다. |
write_registry
| 프로젝트가 비공개이고 인가가 필요한 경우 컨테이너 레지스트리 이미지에 대한 읽기/쓰기(푸시) 액세스를 제공합니다. (GitLab 12.10에서 도입됨) |
sudo
| 관리자로 인증된 경우 시스템의 모든 사용자로 API 작업을 수행할 수 있는 권한을 부여합니다. |
admin_mode
| 관리자 모드가 활성화된 경우 관리자로 API 작업을 수행할 수 있는 권한을 부여합니다. (GitLab 15.8에서 도입됨) |
create_runner
| 러너를 생성할 수 있는 권한을 부여합니다. |
ai_features
| GitLab Duo를 위한 API 작업을 수행할 수 있는 권한을 부여합니다. 이 범위는 JetBrains용 GitLab Duo 플러그인과 함께 작동하도록 설계되었습니다. 다른 모든 확장 프로그램의 경우 범위 요구 사항을 참조하십시오. |
k8s_proxy
| Kubernetes 에이전트를 사용하여 Kubernetes API 호출을 수행할 수 있는 권한을 부여합니다. |
read_service_ping
| 관리자로 인증된 경우 API를 통해 서비스 펑 수신 부하를 다운로드할 수 있는 액세스를 부여합니다. (GitLab 16.8에서 도입됨) |
개인 액세스 토큰 만료 시점
개인 액세스 토큰은 정의한 날짜에 UTC 기준으로 자정인 00:00 AM에 만료됩니다.
- GitLab은 매일 01:00 AM UTC에 다음 칠 일 안에 만료되는 개인 액세스 토큰을 식별하기 위한 확인을 실행합니다. 이러한 토큰의 소유자에게 이메일로 통보됩니다.
- GitLab은 매일 02:00 AM UTC에 해당 날짜에 만료되는 개인 액세스 토큰을 식별하기 위한 확인을 실행합니다. 이러한 토큰의 소유자에게 이메일로 통보됩니다.
- GitLab Ultimate에서 관리자는 액세스 토큰의 허용 가능한 수명을 제한할 수 있습니다. 설정하지 않으면, 개인 액세스 토큰의 최대 허용 수명은 365일입니다.
- GitLab Free 및 Premium에서 개인 액세스 토큰의 최대 허용 수명은 365일입니다.
- 개인 액세스 토큰을 생성할 때 만료 날짜를 설정하지 않으면, 만료 날짜는 토큰의 최대 허용 수명에 따라 365일 후로 설정됩니다. 허용된 최대 수명이 설정되지 않은 경우 기본 만료 날짜는 생성일로부터 365일 후입니다.
만료되지 않는 서비스 계정 개인 액세스 토큰 생성
만료되지 않는 서비스 계정을 위해 개인 액세스 토큰을 생성할 수 있습니다. 이러한 개인 액세스 토큰은 비서비스 계정 개인 액세스 토큰과 달리 만료되지 않습니다.
GitLab.com
전제 조건:
- 최상위 그룹에서 소유자 역할이어야 합니다.
- 왼쪽 사이드바에서 검색 또는 이동을 선택하고 그룹을 찾으세요.
- 설정 > 일반 > 권한 및 그룹 기능을 선택하세요.
- 서비스 계정 토큰 만료 확인란을 지워 주세요.
이제 서비스 계정 사용자를 위해 만료 날짜가 없는 개인 액세스 토큰을 생성할 수 있습니다.
Self-managed GitLab
전제 조건:
- Self-managed 인스턴스의 관리자이어야 합니다.
- 왼쪽 사이드바에서 가장 아래에서 관리자 영역을 선택하세요.
- 설정 > 일반을 선택하세요.
- 계정 및 제한을 확장합니다.
- 서비스 계정 토큰 만료 확인란을 지워 주세요.
이제 서비스 계정 사용자를 위해 만료 날짜가 없는 개인 액세스 토큰을 생성할 수 있습니다.
프로그래밍 방식으로 개인 액세스 토큰 생성
Offering: Self-managed, GitLab Dedicated
테스트 또는 자동화의 일부로 미리 정의된 개인 액세스 토큰을 생성할 수 있습니다.
준비 사항:
- GitLab 인스턴스에 대해 Rails 콘솔 세션을 시작하는 충분한 액세스 권한이 필요합니다.
프로그래밍 방식으로 개인 액세스 토큰을 생성하려면:
-
Rails 콘솔을 엽니다:
sudo gitlab-rails console
-
다음 명령을 실행하여 사용자 이름, 토큰 및 스코프를 참조합니다.
토큰은 20자여야 합니다. 스코프는 유효해야 하며 소스 코드에서 확인할 수 있습니다.
예를 들어, 사용자 이름이
automation-bot
이고 1년 후에 만료되는 토큰을 생성하려면:user = User.find_by_username('automation-bot') token = user.personal_access_tokens.create(scopes: ['read_user', 'read_repository'], name: 'Automation token', expires_at: 365.days.from_now) token.set_token('token-string-here123') token.save!
이 코드는 Rails runner를 사용하여 단일 줄의 셸 명령으로 줄일 수 있습니다:
sudo gitlab-rails runner "token = User.find_by_username('automation-bot').personal_access_tokens.create(scopes: ['read_user', 'read_repository'], name: 'Automation token', expires_at: 365.days.from_now); token.set_token('token-string-here123'); token.save!"
프로그래밍 방식으로 개인 액세스 토큰 취소
Offering: Self-managed, GitLab Dedicated
테스트 또는 자동화의 일부로 개인 액세스 토큰을 프로그래밍 방식으로 취소할 수 있습니다.
준비 사항:
- GitLab 인스턴스에 대해 Rails 콘솔 세션을 시작하는 충분한 액세스 권한이 필요합니다.
프로그래밍 방식으로 토큰을 취소하려면:
-
Rails 콘솔을 엽니다:
sudo gitlab-rails console
-
token-string-here123
의 토큰을 취소하려면 다음 명령을 실행합니다:token = PersonalAccessToken.find_by_token('token-string-here123') token.revoke!
이 코드는 Rails runner를 사용하여 단일 줄의 셸 명령으로 줄일 수 있습니다:
sudo gitlab-rails runner "PersonalAccessToken.find_by_token('token-string-here123').revoke!"
개인 액세스 토큰을 사용하여 리포지터리 복제
Offering: Self-managed, GitLab Dedicated
SSH가 비활성화된 경우 개인 액세스 토큰을 사용하여 리포지터리를 복제하려면 다음 명령을 실행하세요:
git clone https://<username>:<personal_token>@gitlab.com/gitlab-org/gitlab.git
이 방법은 개인 액세스 토큰을 bash 히스토리에 저장합니다. 이를 피하려면 다음 명령을 실행하세요:
git clone https://<username>@gitlab.com/gitlab-org/gitlab.git
clone
명령의 username
:
- 문자열 값이 될 수 있습니다.
- 빈 문자열이 아니어야 합니다.
인증에 의존하는 자동화 파이프라인을 설정하는 경우 이를 기억하세요.
문제 해결
개인 액세스 토큰 취소 해제
Offering: Self-managed, GitLab Dedicated
실수로 개인 액세스 토큰이 취소된 경우 관리자는 해당 토큰을 다시 활성화할 수 있습니다. 기본적으로 매일 새벽 1시에 취소된 토큰이 삭제됩니다.
- Rails 콘솔을 엽니다.
-
토큰을 다시 활성화합니다:
token = PersonalAccessToken.find_by_token('<token_string>') token.update!(revoked:false)
예를 들어,
token-string-here123
의 토큰을 다시 활성화하려면:token = PersonalAccessToken.find_by_token('token-string-here123') token.update!(revoked:false)
개인 액세스 토큰의 대체제
HTTPS를 통한 Git의 경우, OAuth 자격 증명 도우미를 사용하여 개인 액세스 토큰의 대체제를 사용할 수 있습니다.