배포 토큰

Tier: Free, Premium, Ultimate Offering: GitLab.com, Self-managed, GitLab Dedicated

사용자 계정과는 독립적으로 배포 작업의 인증을 가능하게 하는 배포 토큰을 사용할 수 있습니다. 대부분의 경우, 빌드 서버나 CI/CD 서버와 같은 외부 호스트에서 배포 토큰을 사용합니다.

배포 토큰을 사용하면 자동화된 작업이 다음과 같을 수 있습니다:

  • Git 리포지터리 복제
  • GitLab 컨테이너 레지스트리에서 가져오기 및 푸시
  • GitLab 패키지 레지스트리에서 가져오기 및 푸시

배포 토큰은 다음과 같은 값의 쌍입니다:

  • 사용자명: HTTP 인증 프레임워크의 username. 기본 사용자명 형식은 gitlab+deploy-token-{n}입니다. 배포 토큰을 생성할 때 사용자명을 사용자 정의할 수 있습니다.
  • 토큰: HTTP 인증 프레임워크에서의 password.

다음에 대해 HTTP 인증을 위해 배포 토큰을 사용할 수 있습니다:

  • GitLab 패키지 레지스트리 공용 API
  • Git 명령

프로젝트 또는 그룹 수준에서 배포 토큰을 생성할 수 있습니다:

  • 프로젝트 배포 토큰: 권한이 프로젝트에만 적용됩니다.
  • 그룹 배포 토큰: 권한이 그룹 내 모든 프로젝트에 적용됩니다.

기본적으로 배포 토큰에는 유효 기간이 없습니다. 선택적으로 만료 날짜를 설정할 수 있습니다. 만료 시간은 해당 날짜의 자정 UTC에 발생합니다.

caution
외부 권한 부여가 활성화된 경우, 새로운 혹은 기존의 배포 토큰으로 Git 작업 및 패키지 레지스트리 작업을 사용할 수 없습니다.

범위

배포 토큰의 범위는 수행할 수 있는 작업을 결정합니다.

범위 설명
read_repository git clone을 사용하여 리포지터리에 대한 읽기 전용 액세스
read_registry 프로젝트의 이미지에 대한 읽기 전용 액세스 (컨테이너 레지스트리)
write_registry 프로젝트의 레지스트리에 대한 쓰기 액세스(푸시) (컨테이너 레지스트리). 이미지를 푸시하기 위해서는 읽기 및 쓰기 액세스가 필요합니다.
read_package_registry 프로젝트 패키지 레지스트리에 대한 읽기 전용 액세스
write_package_registry 프로젝트 패키지 레지스트리에 대한 쓰기 액세스

GitLab 배포 토큰

-GitLab 15.1에서 그룹 수준의 gitlab-deploy-token 지원이 소개되었으며, 기본적으로 ci_variable_for_group_gitlab_deploy_token이라는 플래그로 활성화되어 있습니다. -GitLab 15.4에서 피처 플래그 ci_variable_for_group_gitlab_deploy_token이 제거되었습니다.

GitLab 배포 토큰은 특별한 유형의 배포 토큰입니다. gitlab-deploy-token이라는 이름의 배포 토큰을 생성하면 해당 배포 토큰이 CI/CD 작업에서 변수로 자동 노출되어 사용할 수 있습니다:

  • CI_DEPLOY_USER: 사용자명
  • CI_DEPLOY_PASSWORD: 토큰

예를 들어, GitLab 컨테이너 레지스트리에 로그인하기 위해 GitLab 토큰을 사용하려면: 

docker login $CI_REGISTRY -u $CI_DEPLOY_USER --password-stdin <<<$CI_DEPLOY_PASSWORD
note
GitLab 15.0 및 그 이전 버전에서는 gitlab-deploy-token 배포 토큰에 대한 특수 처리가 그룹 배포 토큰에서 동작하지 않습니다. 그룹 배포 토큰을 CI/CD 작업에서 사용하려면 설정 > CI/CD > 변수에서 그룹 배포 토큰의 이름과 토큰을 CI_DEPLOY_USERCI_DEPLOY_PASSWORD CI/CD 변수로 설정해야 합니다.

GitLab 배포 토큰 보안

GitLab 배포 토큰은 장기간 유지되어 있어 공격자들에게 유혹으로 다가갑니다.

배포 토큰이 누출되지 않도록 하기 위해 러너(runner)를 안전하게 구성해야 합니다:

  • 기계를 재사용하는 경우에는 Docker의 privileged 모드를 사용하지 않습니다.
  • 작업이 동일한 머신에서 실행될 때 shell executor를 사용하지 않습니다.

보안되지 않은 GitLab 러너 구성은 다른 작업에서 토큰을 도용당할 수 있는 위험성을 증가시킵니다.

GitLab 공개 API

GitLab 배포 토큰은 GitLab 공개 API와 함께 사용할 수 없습니다. 그러나 패키지 레지스트리와 같은 몇 가지 엔드포인트에서 배포 토큰을 사용할 수 있습니다. 자세한 정보는 레지스트리로 인증를 참조하세요.

배포 토큰 생성

사용자 계정과는 독립적으로 실행할 수 있는 배포 작업을 자동화하려면 배포 토큰을 생성합니다.

사전 요구 사항:

  • 그룹 배포 토큰을 만들려면 해당 그룹에 대한 소유자 역할이 있어야 합니다.
  • 프로젝트 배포 토큰을 만들려면 해당 프로젝트에 대한 관리자 역할 이상이어야 합니다.
  1. 왼쪽 사이드 바에서 검색 또는 이동을 선택하고 프로젝트 또는 그룹을 찾습니다.
  2. 설정 > 리포지터리를 선택합니다.
  3. 배포 토큰을 확장합니다.
  4. 토큰 추가를 선택합니다.
  5. 필드를 작성하고 원하는 범위를 선택합니다.
  6. 배포 토큰 생성을 선택합니다.

배포 토큰의 값들을 기록합니다. 페이지를 떠나거나 새로 고침한 후에는 다시 액세스할 수 없습니다.

배포 토큰 취소

더 이상 필요하지 않은 경우 토큰을 취소합니다.

사전 요구 사항:

  • 그룹 배포 토큰을 취소하려면 해당 그룹에 대한 소유자 역할이 있어야 합니다.
  • 프로젝트 배포 토큰을 취소하려면 해당 프로젝트에 대한 관리자 역할 이상이어야 합니다.

배포 토큰을 취소하려면:

  1. 왼쪽 사이드 바에서 검색 또는 이동을 선택하고 프로젝트 또는 그룹을 찾습니다.
  2. 설정 > 리포지터리를 선택합니다.
  3. 배포 토큰을 확장합니다.
  4. 활성 배포 토큰 섹션에서 취소하려는 토큰 옆에 취소를 선택합니다.

리포지터리 복제

배포 토큰을 사용하여 리포지터리를 복제할 수 있습니다.

사전 요구 사항:

  • read_repository 범위를 가진 배포 토큰

배포 토큰을 사용하여 리포지터리를 복제하는 예시: 

git clone https://<사용자명>:<배포_토큰>@gitlab.example.com/tanuki/awesome_project.git

컨테이너 레지스트리에서 이미지 불러오기

컨테이너 레지스트리에서 이미지를 불러오려면 배포 토큰을 사용할 수 있습니다.

전제 조건:

  • read_registry 범위가 있는 배포 토큰.

컨테이너 레지스트리에서 이미지를 불러오는 예시: 

docker login -u <username> -p <deploy_token> registry.example.com
docker pull $CONTAINER_TEST_IMAGE

컨테이너 레지스트리에 이미지 푸시하기

컨테이너 레지스트리에 이미지를 푸시하려면 배포 토큰을 사용할 수 있습니다.

전제 조건:

  • read_registrywrite_registry 범위가 있는 배포 토큰.

컨테이너 레지스트리에 이미지를 푸시하는 예시: 

docker login -u <username> -p <deploy_token> registry.example.com
docker push $CONTAINER_TEST_IMAGE

패키지 레지스트리에서 패키지 불러오기

패키지 레지스트리에서 패키지를 불러오려면 배포 토큰을 사용할 수 있습니다.

전제 조건:

  • read_package_registry 범위가 있는 배포 토큰.

선택한 패키지 유형에 따라 배포 토큰의 인증 지침을 따르세요.

GitLab 레지스트리에서 NuGet 패키지를 설치하는 예시: 

nuget source Add -Name GitLab -Source "https://gitlab.example.com/api/v4/projects/10/packages/nuget/index.json" -UserName <username> -Password <deploy_token>
nuget install mypkg.nupkg

패키지 레지스트리에 패키지 푸시하기

GitLab 패키지 레지스트리에 패키지를 푸시하려면 배포 토큰을 사용할 수 있습니다.

전제 조건:

  • write_package_registry 범위가 있는 배포 토큰.

선택한 패키지 유형에 따라 배포 토큰의 인증 지침을 따르세요.

GitLab 패키지 레지스트리에 NuGet 패키지를 게시하는 예시: 

nuget source Add -Name GitLab -Source "https://gitlab.example.com/api/v4/projects/10/packages/nuget/index.json" -UserName <username> -Password <deploy_token>
nuget push mypkg.nupkg -Source GitLab

의존성 프록시에서 이미지 불러오기

의존성 프록시에서 이미지를 불러오려면 배포 토큰을 사용할 수 있습니다.

전제 조건:

  • read_registrywrite_registry 범위가 있는 배포 토큰.

의존성 프록시의 인증 지침을 따르세요.