- UI를 사용하여 그룹 액세스 토큰 생성
- Rails 콘솔을 사용하여 그룹 액세스 토큰 생성
- UI를 사용하여 그룹 액세스 토큰 취소하기
- Rails 콘솔을 사용하여 그룹 액세스 토큰 취소하기
- 그룹 액세스 토큰의 범위
- 그룹 액세스 토큰 생성 활성화 또는 비활성화
- 그룹용 Bot 사용자
- 토큰 사용 가능 여부
그룹 액세스 토큰
그룹 액세스 토큰을 사용하면 다음을 수행할 수 있습니다:
- 그룹에 대한 작업 수행.
- 그룹 내의 프로젝트 관리.
그룹 액세스 토큰을 사용하여 다음을 인증할 수 있습니다:
- GitLab API로.
-
GitLab 14.2 및 그 이후 버전에서는 HTTPS를 통해 Git과 인증합니다. 사용 방법:
- 사용자 이름으로 빈 값 이외의 값 사용.
- 암호로 그룹 액세스 토큰 사용.
GitLab.com에서는 프리미엄 또는 얼티밋 라이선스 티어를 보유하고 있다면 그룹 액세스 토큰을 사용할 수 있습니다. 그룹 액세스 토큰은 체험 라이선스로는 이용할 수 없습니다.
GitLab Dedicated 및 Self-managed 인스턴스에서는 모든 라이선스 티어로 그룹 액세스 토큰을 사용할 수 있습니다. 프리 티어를 보유하고 있다면:
- 사용자 자가 등록 주변의 보안 및 규정 준수 정책 검토.
- 그룹 액세스 토큰 비활성화를 고려하여 잠재적 남용을 줄입니다.
그룹 액세스 토큰은 프로젝트 액세스 토큰 및 개인 액세스 토큰과 유사하지만, 프로젝트나 사용자와 연결된 것이 아니라 그룹과 연결됩니다.
Self-managed 인스턴스에서는 그룹 액세스 토큰이 개인 액세스 토큰과 동일한 최대 수명 제한을 적용받습니다.
경고: 만료 날짜가 없는 그룹 액세스 토큰을 생성하는 능력은 GitLab 15.4에서 사용 중단되었으며 GitLab 16.0에서 제거되었습니다. GitLab 16.0 및 이후 버전에서는 현재 날짜로부터 365일 후에 자동으로 만료 날짜가 추가됩니다. 만료 날짜의 자동 추가는 GitLab.com의 16.0 마일스톤에서 발생합니다. 자체 관리 인스턴스의 경우, GitLab 16.0으로 업그레이드되면 자동으로 만료 날짜가 추가됩니다. 이 변경사항은 파손 변경입니다.
그룹 액세스 토큰으로 다른 그룹, 프로젝트 또는 개인 액세스 토큰을 생성할 수 없습니다.
그룹 액세스 토큰은 개인 액세스 토큰에 대한 구성된 기본 접두어 설정을 상속받습니다.
UI를 사용하여 그룹 액세스 토큰 생성
경고: 프로젝트 액세스 토큰은 내장 사용자로 처리됩니다. 내부 사용자가 프로젝트 액세스 토큰을 생성하면 해당 토큰은 공개로 설정된 모든 프로젝트에 액세스할 수 있습니다.
그룹 액세스 토큰을 생성하려면:
- 왼쪽 사이드바에서 검색 또는 이동을 선택하고 그룹을 찾습니다.
- 설정 > 액세스 토큰을 선택합니다.
- 새 토큰 추가를 선택합니다.
- 이름을 입력하세요. 토큰 이름은 그룹을 볼 수 있는 권한을 가진 모든 사용자에게 표시됩니다.
- 토큰의 만료 날짜를 입력하세요:
- 해당 날짜에 UTC 자정에 토큰이 만료됩니다.
- 만료 날짜를 입력하지 않으면, 만료 날짜는 자동으로 현재 날짜로부터 365일 후로 설정됩니다.
- 기본적으로 이 날짜는 현재 날짜로부터 최대 365일 후까지입니다.
- Self-managed 인스턴스에서는 인스턴스 전체의 최대 수명 설정이 해당 사용자의 최대 허용 수명을 제한할 수 있습니다.
- 토큰의 역할을 선택하세요.
- 원하는 범위를 선택하세요.
- 그룹 액세스 토큰 생성을 선택하세요.
그룹 액세스 토큰이 표시됩니다. 그룹 액세스 토큰을 안전한 곳에 저장하세요. 페이지 이탈 또는 새로 고침 후에는 다시 확인할 수 없습니다.
Rails 콘솔을 사용하여 그룹 액세스 토큰 생성
GitLab 14.6 이전 버전에서는 UI 또는 API를 사용하여 그룹 액세스 토큰 생성을 지원하지 않았습니다. 그러나 관리자는 다음과 같은 방법을 사용할 수 있습니다:
-
Rails 콘솔에서 다음 명령을 실행합니다:
# GitLab 관리 사용자 설정. 사용 가능한 사용자 ID 1이 없거나 관리자가 아닌 경우, 관리자를 선택하려면 대신 'admin = User.admins.first'을 사용하세요. admin = User.find(1) # 토큰을 만들 그룹 설정. 예를 들어, ID 109인 그룹. group = Group.find(109) # 그룹 봇 사용자 생성. 추가적인 그룹 액세스 토큰을 위해 사용자 이름은 `group_{그룹 ID}_bot_{랜덤 문자열}`, 이메일 주소는 `group_{그룹 ID}_bot_{랜덤 문자열}@noreply.{Gitlab.config.gitlab.host}` 여야 합니다. random_string = SecureRandom.hex(16) bot = Users::CreateService.new(admin, { name: 'group_token', username: "group_#{group.id}_bot_#{random_string}", email: "group_#{group.id}_bot_#{random_string}@noreply.#{Gitlab.config.gitlab.host}", user_type: :project_bot }).execute # 그룹 봇 사용자 확인. bot.confirm # 필요한 역할을 가진 그룹에 봇 추가. group.add_member(bot, :maintainer) # 봇에 개인 액세스 토큰 부여. token = bot.personal_access_tokens.create(scopes:[:api, :write_repository], name: 'group_token') # 토큰 값 가져오기. gtoken = token.token -
생성된 그룹 액세스 토큰이 작동하는지 테스트:
-
PRIVATE-TOKEN헤더에 그룹 액세스 토큰을 사용하여 GitLab REST API와 함께 사용합니다. 예를 들어:- 그룹의 에픽 생성.
- 그룹의 프로젝트 중 하나에 프로젝트 파이프라인 생성.
- 그룹의 프로젝트 중 하나에 이슈 생성.
-
HTTPS를 사용하여 그룹 프로젝트 복제에 그룹 토큰 사용.
-
UI를 사용하여 그룹 액세스 토큰 취소하기
- GitLab 14.7에서 도입되었습니다.
그룹 액세스 토큰을 취소하려면:
- 왼쪽 사이드바에서 검색 또는 이동을 선택하고 그룹을 찾습니다.
- 설정 > 액세스 토큰을 선택합니다.
- 취소할 그룹 액세스 토큰 옆에서 취소를 선택합니다 ().
Rails 콘솔을 사용하여 그룹 액세스 토큰 취소하기
GitLab 14.6 및 이전 버전은 UI 또는 API를 사용하여 그룹 액세스 토큰을 취소하는 것을 지원하지 않습니다. 그러나 관리자는 일시적인 해결책을 사용할 수 있습니다.
그룹 액세스 토큰을 취소하려면 다음 명령을 Rails 콘솔에서 실행하십시오:
bot = User.find_by(username: 'group_109_bot') # 취소하려는 토큰의 소유자
token = bot.personal_access_tokens.last # 취소하려는 토큰
token.revoke!
그룹 액세스 토큰의 범위
이 범위는 그룹 액세스 토큰을 사용하여 인증할 때 수행할 수 있는 작업을 결정합니다.
| 범위 | 설명 |
|---|---|
api
| 그룹과 관련된 프로젝트 API 전체에 대한 읽기 및 쓰기 액세스를 부여합니다. 이에는 컨테이너 레지스트리, 의존성 프록시, 패키지 레지스트리가 포함됩니다. |
read_api
| 그룹과 관련된 프로젝트 API에 대한 읽기 액세스를 부여합니다. 이에는 패키지 레지스트리가 포함됩니다. |
read_registry
| 그룹 내 프로젝트 중 비공개이고 인가가 필요한 경우 컨테이너 레지스트리 이미지에 대한 읽기 액세스(풀)를 부여합니다. |
write_registry
| 컨테이너 레지스트리에 대한 쓰기 액세스(푸시)를 부여합니다. 이미지를 푸시하려면 읽기 및 쓰기 액세스가 필요합니다. |
read_repository
| 그룹 내 모든 저장소에 대한 읽기 액세스(풀)를 부여합니다. |
write_repository
| 그룹 내 모든 저장소에 대한 읽기 및 쓰기 액세스(풀 및 푸시)를 부여합니다. |
create_runner
| 그룹에서 러너를 생성할 수 있는 권한을 부여합니다. |
ai_features
| GitLab Duo에 대한 API 작업을 수행할 수 있는 권한을 부여합니다. 이 범위는 JetBrains용 GitLab Duo 플러그인과 함께 작동하도록 설계되었습니다. 다른 확장 기능의 경우 범위 요구 사항을 확인하세요. |
k8s_proxy
| 그룹 내 Kubernetes에 대한 에이전트를 사용하여 Kubernetes API 호출을 수행할 수 있는 권한을 부여합니다. |
그룹 액세스 토큰 생성 활성화 또는 비활성화
최상위 그룹의 모든 하위 그룹에 대해 그룹 액세스 토큰 생성을 활성화 또는 비활성화하려면:
- 왼쪽 사이드바에서 검색 또는 이동을 선택하고 그룹을 찾습니다.
- 설정 > 일반을 선택합니다.
- 권한 및 그룹 기능을 확장합니다.
- 권한 아래에서 사용자가 이 그룹에서 프로젝트 액세스 토큰 및 그룹 액세스 토큰을 만들 수 있음을 켜거나 끕니다.
- 변경 사항 저장을 선택합니다.
생성이 비활성화되어 있더라도 기존의 그룹 액세스 토큰을 사용하고 취소할 수 있습니다.
그룹용 Bot 사용자
그룹용 Bot 사용자는 GitLab에서 생성된 서비스 계정입니다. 그룹 액세스 토큰을 생성할 때마다 Bot 사용자가 만들어지고 그룹에 추가됩니다. 이러한 Bot 사용자는 프로젝트의 프로젝트용 Bot 사용자와 유사하지만 프로젝트 대신 그룹에 추가됩니다. 그룹용 Bot 사용자:
- 라이선스 제한에 포함되지 않기 때문에 요금 청구 대상 사용자가 아닙니다.
- 그룹의 소유자에게 최대 권한을 부여받을 수 있습니다. 자세한 내용은 그룹 액세스 토큰 생성을 참조하십시오.
- 사용자 이름은
group_{group_id}_bot_{random_string}으로 설정됩니다. 예:group_123_bot_4ffca233d8298ea1. - 이메일은
group_{group_id}_bot_{random_string}@noreply.{Gitlab.config.gitlab.host}로 설정됩니다. 예:group_123_bot_4ffca233d8298ea1@noreply.example.com.
다른 속성은 프로젝트용 Bot 사용자와 유사합니다.
토큰 사용 가능 여부
그룹 액세스 토큰은 유료 구독에서만 이용할 수 있으며, 평가판 구독에는 포함되어 있지 않습니다. 자세한 정보는 GitLab 평가판 FAQ의 “포함된 사항” 섹션을 참조하십시오.
도움말