- UI를 사용하여 그룹 액세스 토큰 생성
- Rails 콘솔을 사용하여 그룹 액세스 토큰 생성
- 그룹 액세스 토큰 취소
- 그룹 액세스 토큰의 범위
- 그룹 액세스 토큰 생성 활성화 또는 비활성화
- 액세스 토큰 만료
- 그룹을 위한 봇 사용자
- 토큰 이용 가능 여부
그룹 액세스 토큰
그룹 액세스 토큰을 사용하면 단일 토큰을 사용하여 다음을 수행할 수 있습니다:
- 그룹의 작업 수행.
- 그룹 내의 프로젝트 관리.
그룹 액세스 토큰을 사용하여 다음을 인증할 수 있습니다:
- GitLab API를 통한 인증.
-
HTTPS를 통한 Git 인증. 사용 방법:
- 사용자 이름으로 빈 값이 아닌 값 사용.
- 비밀번호로 그룹 액세스 토큰 사용.
GitLab.com에서는 프리미엄 또는 얼티밋 라이선스 티어가 있는 경우 그룹 액세스 토큰을 사용할 수 있습니다. 그룹 액세스 토큰은 체험 라이선스로는 사용할 수 없습니다.
GitLab 전용 및 자체 관리 인스턴스에서는 어떤 라이선스 티어에서도 그룹 액세스 토큰을 사용할 수 있습니다. 프리 티어를 사용하는 경우:
- 사용자 자가 등록에 대한 보안 및 규정 준수 정책을 검토하세요.
- 그룹 액세스 토큰 비활성화를 고려하여 잠재적인 남용 가능성을 줄이세요.
그룹 액세스 토큰은 프로젝트 액세스 토큰 및 개인 액세스 토큰과 유사하지만 프로젝트 또는 사용자가 아닌 그룹과 관련되어 있습니다.
자체 관리 인스턴스에서는 그룹 액세스 토큰이 설정된 경우 개인 액세스 토큰과 동일한 최대 수명 제한을 적용받습니다.
그룹 액세스 토큰으로 다른 그룹, 프로젝트 또는 개인 액세스 토큰을 생성할 수 없습니다.
그룹 액세스 토큰은 개인 액세스 토큰에 대해 구성된 기본 접두어 설정을 상속합니다.
UI를 사용하여 그룹 액세스 토큰 생성
경고: 만료 날짜가 지정되지 않은 그룹 액세스 토큰을 만드는 기능은 GitLab 15.4에서 폐기 대상으로 지정되었으며, GitLab 16.0에서 제거되었습니다. 기존 토큰에 만료 날짜가 추가된 자세한 정보는 액세스 토큰 만료 문서를 참조하세요.
그룹 액세스 토큰을 생성하려면:
- 왼쪽 사이드바에서 검색 또는 참조를 선택하고 그룹을 찾습니다.
- 설정 > 액세스 토큰을 선택합니다.
- 새 토큰 추가를 선택합니다.
- 이름을 입력합니다. 토큰 이름은 그룹을 볼 수 있는 권한이 있는 모든 사용자에게 표시됩니다.
- 토큰의 만료 날짜를 입력합니다:
- 토큰은 해당 날짜에 UTC 자정에 만료됩니다. 만료일이 2024-01-01인 토큰은 2024-01-01의 00:00:00(UTC)에 만료됩니다.
- 만료 날짜를 입력하지 않으면 자동으로 현재 날짜로부터 365일 후의 만료 날짜가 설정됩니다.
- 기본적으로 이 날짜는 현재 날짜로부터 최대 365일 후까지일 수 있습니다.
- 자체 관리 인스턴스에서는 인스턴스 전반적으로 최대 수명을 설정하여 최대 허용 수명을 제한할 수 있습니다.
- 토큰을 위한 역할을 선택합니다.
- 원하는 범위를 선택합니다.
- 그룹 액세스 토큰 생성을 선택합니다.
그룹 액세스 토큰이 표시됩니다. 그룹 액세스 토큰을 안전한 곳에 저장합니다. 페이지를 떠나거나 새로 고치면 다시 보지 못합니다.
경고: 그룹 액세스 토큰은 내부 사용자로 처리됩니다. 내부 사용자가 그룹 액세스 토큰을 생성하면 해당 토큰은 내부로 설정된 모든 프로젝트에 액세스할 수 있습니다.
Rails 콘솔을 사용하여 그룹 액세스 토큰 생성
관리자인 경우 Rails 콘솔에서 그룹 액세스 토큰을 생성할 수 있습니다:
-
Rails 콘솔에서 다음 명령을 실행합니다:
# GitLab 관리 사용자를 설정합니다. 사용 가능한 사용자 ID 1이 관리자가 아니거나 사용할 수 없는 경우 'admin = User.admins.first'를 사용하여 대신 관리자를 선택하세요. admin = User.find(1) # 토큰을 생성하려는 그룹을 설정합니다. 예: ID 109인 그룹. group = Group.find(109) # 그룹 봇 사용자를 생성합니다. 추가적인 그룹 액세스 토큰을 위해 사용자 이름은 `group_{group_id}_bot_{random_string}`이어야 하며, 이메일 주소는 `group_{group_id}_bot_{random_string}@noreply.{Gitlab.config.gitlab.host}`여야 합니다. random_string = SecureRandom.hex(16) bot = Users::CreateService.new(admin, { name: 'group_token', username: "group_#{group.id}_bot_#{random_string}", email: "group_#{group.id}_bot_#{random_string}@noreply.#{Gitlab.config.gitlab.host}", user_type: :project_bot }).execute # 그룹 봇을 확인합니다. bot.confirm # 해당 그룹에 필요한 역할로 봇을 추가합니다. group.add_member(bot, :maintainer) # 봇에 개인 액세스 토큰을 제공합니다. token = bot.personal_access_tokens.create(scopes:[:api, :write_repository], name: 'group_token') # 토큰 값을 가져옵니다. gtoken = token.token -
생성된 그룹 액세스 토큰이 작동하는지 테스트합니다:
-
PRIVATE-TOKEN헤더에 그룹 액세스 토큰을 사용하여 GitLab REST API를 호출합니다. 예:- 그룹에 에픽 생성.
- 그룹의 프로젝트 중 하나에서 프로젝트 파이프라인 생성.
- 그룹의 프로젝트 중 하나에서 이슈 생성.
-
HTTPS를 사용하여 그룹의 프로젝트를 복제합니다. ```
-
그룹 액세스 토큰 취소
그룹 액세스 토큰을 취소하려면 UI 또는 Rails 콘솔을 사용할 수 있습니다.
GitLab 17.3 이상에서 retain_resource_access_token_user_after_revoke 기능 플래그를 활성화하면 액세스 토큰 페이지에서 활성 및 비활성화된 둘 다 볼 수 있습니다. 이 기능 플래그를 활성화하지 않으면 활성 토큰만 볼 수 있습니다. 비활성 그룹 액세스 토큰 테이블:
- 다음을 포함합니다:
- 취소된 토큰이지만 아직 만료되지 않은 기존 토큰들. 이러한 토큰들이 만료되면 더 이상 테이블에 없게 됩니다.
- 기능 플래그가 활성화된 후 생성된 취소된 토큰들. 이러한 토큰들은 만료된 후에도 테이블에 남아 있습니다.
- 다음을 포함하지 않습니다:
- 이미 만료되거나 취소된 토큰들.
- 미래에 만료될 토큰 또는 아직 취소되지 않은 기존 토큰들.
UI 사용
그룹 액세스 토큰을 취소하려면:
- 왼쪽 사이드바에서 검색 또는 이동을 선택하고 그룹을 찾습니다.
- 설정 > 액세스 토큰을 선택합니다.
- 취소할 그룹 액세스 토큰 옆에서 취소를 선택합니다 ().
Rails 콘솔 사용
필요 사항:
- 관리자이어야 합니다.
그룹 액세스 토큰을 취소하려면 다음 명령을 Rails 콘솔에서 실행합니다:
bot = User.find_by(username: 'group_109_bot') # 취소하려는 토큰의 소유자
token = bot.personal_access_tokens.last # 취소하려는 토큰
token.revoke!
그룹 액세스 토큰의 범위
이 범위는 그룹 액세스 토큰으로 인증할 때 수행할 수 있는 작업을 결정합니다.
| 범위 | 설명 |
|---|---|
api
| 그룹과 관련 프로젝트 API에 대한 완전한 읽기 및 쓰기 액세스를 부여합니다. 이는 컨테이너 레지스트리, 의존성 프록시, 및 패키지 레지스트리를 포함합니다. |
read_api
| 그룹과 관련 프로젝트 API에 대한 읽기 액세스를 부여합니다. 이는 패키지 레지스트리를 포함합니다. |
read_registry
| 그룹 내의 프로젝트가 비공개이고 인가가 필요한 경우 컨테이너 레지스트리 이미지에 대한 읽기 액세스 (풀)를 부여합니다. |
write_registry
| 컨테이너 레지스트리에 대한 쓰기 액세스 (푸시)를 부여합니다. 이미지를 푸시하려면 읽기 및 쓰기 액세스가 모두 필요합니다. |
read_repository
| 그룹 내의 모든 저장소에 대한 읽기 액세스 (풀)를 부여합니다. |
write_repository
| 그룹 내의 모든 저장소에 대한 읽기 및 쓰기 액세스 (풀 및 푸시)를 부여합니다. |
create_runner
| 그룹에서 러너를 생성할 수 있는 권한을 부여합니다. |
manage_runner
| 그룹에서 러너를 관리할 수 있는 권한을 부여합니다. |
ai_features
| GitLab Duo를 위해 API 작업을 수행할 수 있는 권한을 부여합니다. 이 범위는 JetBrains용 GitLab Duo 플러그인과 함께 작동하도록 설계되었습니다. 다른 확장 프로그램의 경우 범위 요구 사항을 참조하십시오. |
k8s_proxy
| 그룹에서 Kubernetes 에이전트를 사용하여 Kubernetes API 호출을 수행할 수 있는 권한을 부여합니다. |
그룹 액세스 토큰 생성 활성화 또는 비활성화
최상위 그룹에서 모든 하위 그룹에 대해 그룹 액세스 토큰 생성을 활성화 또는 비활성화하려면:
- 왼쪽 사이드바에서 검색 또는 이동을 선택하고 그룹을 찾습니다.
- 설정 > 일반을 선택합니다.
- 권한 및 그룹 기능을 확장합니다.
- 권한 아래에서 이 그룹에서 사용자가 프로젝트 액세스 토큰 및 그룹 액세스 토큰을 만들 수 있습니다를 켜거나 끕니다.
- 변경사항 저장을 선택합니다.
생성이 비활성화되어도 기존 그룹 액세스 토큰을 여전히 사용하고 취소할 수 있습니다.
액세스 토큰 만료
기존 그룹 액세스 토큰에 자동으로 적용되는 만료 날짜는 GitLab의 제공 버전 및 GitLab 16.0 이상으로 업그레이드한 시기에 따라 달라집니다.
- GitLab.com에서 16.0 마일스톤 중에 만료 날짜가 없었던 기존 그룹 액세스 토큰에 자동으로 현재 날짜로부터 365일 후의 만료 날짜가 자동으로 부여되었습니다.
- GitLab 자체 관리 시, GitLab 15.11 이전 버전에서 GitLab 16.0 이상으로 업그레이드한 경우:
- 2024년 7월 23일 이전에 만료 날짜가 없었던 기존 그룹 액세스 토큰에 자동으로 현재 날짜로부터 365일 후의 만료 날짜가 자동으로 부여되었습니다. 이 변경 사항은 호환성을 보장하지 않는 변경 사항입니다.
- 2024년 7월 24일 이후에 만료 날짜가 없었던 기존 그룹 액세스 토큰에는 만료 날짜가 설정되지 않았습니다.
GitLab 자체 관리 시, 다음 GitLab 버전 중 하나를 새로 설치한 경우 기존 그룹 액세스 토큰에는 만료 날짜가 자동으로 적용되지 않습니다:
- 16.0.9
- 16.1.7
- 16.2.10
- 16.3.8
- 16.4.6
- 16.5.9
- 16.6.9
- 16.7.9
- 16.8.9
- 16.9.10
- 16.10.9
- 16.11.7
- 17.0.5
- 17.1.3
- 17.2.1
그룹을 위한 봇 사용자
그룹을 위한 봇 사용자는 GitLab이 생성한 무과금 사용자입니다. 그룹 액세스 토큰을 생성할 때마다 봇 사용자가 생성되어 그룹에 추가됩니다. 그룹을 위한 봇 사용자는 프로젝트를 위한 봇 사용자와 유사하지만, 프로젝트 대신 그룹에 추가됩니다. 그룹을 위한 봇 사용자는 다음과 같습니다:
- 라이선스 한도에 포함되지 않으므로 과금되는 사용자로 계산되지 않습니다.
- 그룹에서 소유자의 역할까지만 가질 수 있습니다. 자세한 정보는 그룹 액세스 토큰 생성을 참조하세요.
- 사용자 이름은
group_{group_id}_bot_{random_string}으로 설정됩니다. 예:group_123_bot_4ffca233d8298ea1 - 이메일은
group_{group_id}_bot_{random_string}@noreply.{Gitlab.config.gitlab.host}으로 설정됩니다. 예:group_123_bot_4ffca233d8298ea1@noreply.example.com
기타 모든 속성은 프로젝트를 위한 봇 사용자와 유사합니다.
토큰 이용 가능 여부
그룹 액세스 토큰은 유료 구독에서만 이용할 수 있으며, 체험 구독에서는 이용할 수 없습니다. 자세한 정보는 GitLab 체험판 FAQ의 “포함 사항” 섹션을 참조하세요.
도움말