개인 액세스 토큰

Tier: Free, Premium, Ultimate Offering: GitLab.com, Self-managed, GitLab Dedicated

개인 액세스 토큰은 OAuth2의 대안으로 사용되며 다음과 같이 활용할 수 있습니다:

  • GitLab API로 인증합니다.
  • HTTP 기본 인증을 사용하여 Git에 인증합니다.

두 경우 모두 비밀번호 대신 개인 액세스 토큰으로 인증합니다.

개인 액세스 토큰은:

참고: 개인 액세스 토큰을 사용하여 인증할 때 GitLab 사용자 이름은 무시됩니다. GitLab이 사용자 이름을 사용하도록하는 추적용 이슈가 있습니다.

API를 사용하여 개인 액세스 토큰으로 인증하는 방법의 예시는 API 문서를 참조하세요.

대신, GitLab 관리자는 API를 사용하여 감싸기 토큰을 생성할 수 있습니다. 감싸기 토큰을 사용하여 특정 사용자로 인증을 자동화할 수 있습니다.

개인 액세스 토큰 생성

  • GitLab 15.3에서 도입되었으며, UI에는 30일의 기본 만료 기간이 채워집니다.
  • 만료일이 없는 개인 액세스 토큰을 생성하는 기능이 GitLab 16.0에서 삭제되었습니다.

경고: 만료일이 없는 개인 액세스 토큰을 생성하는 기능은 GitLab 15.4에서 폐기되었으며, GitLab 16.0에서 삭제되었습니다. 개인 액세스 토큰의 만료 및 기존 토큰에 만료일이 추가되는 시기에 대한 자세한 정보는 액세스 토큰 만료 문서를 참조하세요.

원하는만큼 개인 액세스 토큰을 생성할 수 있습니다.

  1. 왼쪽 사이드바에서 아바타를 선택합니다.
  2. 프로필 편집을 선택합니다.
  3. 왼쪽 사이드바에서 액세스 토큰을 선택합니다.
  4. 새 토큰 추가를 선택합니다.
  5. 토큰의 이름과 만료일을 입력합니다.
    • 해당 날짜에 토큰이 만료되며, UTC 기준으로 자정에 만료됩니다. 2024-01-01 만료일이 설정된 토큰은 2024-01-01에 자정(UTC)에 만료됩니다.
    • 만료일을 입력하지 않으면 현재 날짜로부터 365일 후로 자동 설정됩니다.
    • 기본적으로 이 날짜는 현재 날짜로부터 최대 365일 후까지 설정할 수 있습니다.
  6. 원하는 스코프를 선택합니다.
  7. 개인 액세스 토큰 생성을 선택합니다.

개인 액세스 토큰을 안전한 곳에 저장하세요. 페이지를 떠나면 토큰에 더 이상 액세스할 수 없습니다.

개인 액세스 토큰 이름 및 스코프 미리 작성

개인 액세스 토큰 페이지로 직접 링크하고 이름과 스코프 목록이 미리 작성된 양식을 가질 수 있습니다. 이를 위해 URL에 name 매개변수와 쉼표로 구분된 스코프 목록을 첨부할 수 있습니다. 예를 들면: 

https://gitlab.example.com/-/user_settings/personal_access_tokens?name=Example+Access+token&scopes=api,read_user,read_registry

경고: 개인 액세스 토큰은 신중하게 처리되어야 합니다. 개인 액세스 토큰 관리에 대한 안내는 토큰 보안 고려사항을 읽어보세요 (예: 짧은 만료일 설정 및 최소한의 스코프 사용).

개인 액세스 토큰 취소

언제든지 개인 액세스 토큰을 취소할 수 있습니다.

  1. 왼쪽 사이드바에서 아바타를 선택합니다.
  2. 프로필 편집을 선택합니다.
  3. 왼쪽 사이드바에서 액티브한 개인 액세스 토큰을 선택합니다.
  4. 관련 토큰에서 취소를 선택합니다.
  5. 확인 대화상자에서 취소를 선택합니다.

개인 액세스 토큰 비활성화

Tier: Premium, Ultimate Offering: Self-managed, GitLab Dedicated

필수 사항:

  • 관리자여야 합니다.

GitLab 버전에 따라 애플리케이션 설정 API 또는 관리자 UI를 사용하여 개인 액세스 토큰을 비활성화할 수 있습니다.

애플리케이션 설정 API 사용

  • GitLab 15.7에서 도입되었습니다.

GitLab 15.7 이상에서는 API에서 disable_personal_access_tokens 속성을 사용하여 개인 액세스 토큰을 비활성화할 수 있습니다.

참고: API를 사용하여 개인 액세스 토큰을 비활성화한 후에는 해당 토큰을 사용하여 이 설정을 관리하는 후속 API 호출에 사용할 수 없습니다. 개인 액세스 토큰을 다시 활성화하려면 GitLab Rails 콘솔을 사용해야 합니다. 또는 관리자 UI를 사용하려면 GitLab 17.3 이상으로 업그레이드해야 합니다.

관리자 UI 사용

  • GitLab 17.3에서 도입되었습니다.

GitLab 17.3 이상에서 관리자 UI를 사용하여 개인 액세스 토큰을 비활성화할 수 있습니다:

  1. 왼쪽 사이드바에서 맨 아래 관리자를 선택합니다.
  2. 설정 > 일반을 선택합니다.
  3. 가시성 및 액세스 제어를 확장합니다.
  4. 개인 액세스 토큰 비활성화 확인란을 선택합니다.
  5. 변경 사항 저장을 선택합니다.

엔터프라이즈 사용자를 위한 개인 액세스 토큰 비활성화

필수 조건:

  • 엔터프라이즈 사용자가 속한 그룹에 대한 소유자 역할이 있어야 합니다.

그룹의 엔터프라이즈 사용자의 개인 액세스 토큰 비활성화:

  • 엔터프라이즈 사용자가 새 개인 액세스 토큰을 만드는 것을 중지합니다. 이 동작은 엔터프라이즈 사용자가 해당 그룹의 관리자인 경우에도 적용됩니다.
  • 엔터프라이즈 사용자의 기존 개인 액세스 토큰을 비활성화합니다.

참고: 엔터프라이즈 사용자의 개인 액세스 토큰을 비활성화해도 서비스 계정의 개인 액세스 토큰은 비활성화되지 않습니다.

엔터프라이즈 사용자의 개인 액세스 토큰 비활성화하려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 그룹 또는 하위 그룹을 찾습니다.
  2. 설정 > 일반을 선택합니다.
  3. 권한 및 그룹 기능을 확장합니다.
  4. 개인 액세스 토큰 아래에서 개인 액세스 토큰 비활성화를 선택합니다.
  5. 변경 사항 저장을 선택합니다.

마지막으로 토큰을 사용한 시간

  • GitLab 16.0 및 이전에는 토큰 사용 정보가 24시간마다 업데이트되었습니다.
  • 토큰 사용 정보의 업데이트 빈도가 GitLab 16.1에서 24시간에서 10분으로 변경되었습니다.

토큰 사용 정보는 매 10분마다 업데이트됩니다. GitLab에서 토큰이 사용된 것으로 간주되는 경우:

  • REST 또는 GraphQL API로 인증하는 경우.
  • Git 작업을 수행하는 경우.

토큰이 마지막으로 사용된 시간을 보려면:

  1. 왼쪽 사이드바에서 아바타를 선택합니다.
  2. 프로필 편집을 선택합니다.
  3. 왼쪽 사이드바에서 액세스 토큰을 선택합니다.
  4. 활성 개인 액세스 토큰 영역에서 관련 토큰의 마지막 사용 일시를 확인합니다.

개인 액세스 토큰 범위

개인 액세스 토큰은 지정된 범위에 따라 작업을 수행할 수 있습니다.

범위 액세스
api 그룹 및 프로젝트, 컨테이너 레지스트리, 종속성 프록시 및 패키지 레지스트리를 포함한 API에 대해 완전한 읽기/쓰기 액세스를 부여합니다. 또한 Git을 통한 레지스트리 및 리포지토리에 대해 완전한 읽기/쓰기 액세스를 부여합니다.
read_user /user API 엔드포인트를 통해 인증된 사용자의 프로필에 대한 읽기 전용 액세스를 부여하며, 사용자 이름, 공용 이메일 및 전체 이름을 포함합니다. 또한 /users 아래의 읽기 전용 API 엔드포인트에 대한 액세스를 부여합니다.
read_api 그룹 및 프로젝트, 컨테이너 레지스트리 및 패키지 레지스트리에 대한 읽기 액세스를 부여합니다.
read_repository Git-over-HTTP 또는 리포지토리 파일 API를 사용하여 비공개 프로젝트의 리포지토리에 대한 읽기 전용 액세스를 부여합니다.
write_repository API를 사용하지 않고 Git-over-HTTP를 사용하여 비공개 프로젝트의 리포지토리에 대한 읽기/쓰기 액세스를 부여합니다.
read_registry 프로젝트가 비공개이고 인증이 필요한 경우 컨테이너 레지스트리 이미지에 대한 읽기 전용(풀) 액세스를 부여합니다. 컨테이너 레지스트리가 활성화된 경우에만 사용 가능합니다.
write_registry 프로젝트가 비공개이고 인증이 필요한 경우 컨테이너 레지스트리 이미지에 대한 읽기/쓰기(푸시) 액세스를 부여합니다. 컨테이너 레지스트리가 활성화된 경우에만 사용 가능합니다.
sudo 관리자로 인증된 상태에서 시스템의 모든 사용자로 API 작업을 수행할 수 있는 권한을 부여합니다.
admin_mode 관리자 모드가 활성화된 경우 관리자로 API 작업을 수행할 수 있는 권한을 부여합니다. (GitLab 15.8에서 도입됨).
create_runner 러너를 만들 권한을 부여합니다.
manage_runner 러너를 관리할 권한을 부여합니다.
ai_features GitLab Duo를 위해 JetBrains용 GitLab Duo 플러그인과 함께 작동하도록 설계된 API 작업을 수행할 수 있는 권한을 부여합니다. 다른 모든 확장 프로그램의 경우에는 범위 요구 사항을 참조하십시오.
k8s_proxy Kubernetes의 에이전트를 사용하여 Kubernetes API 호출을 수행할 수 있는 권한을 부여합니다.
read_service_ping 관리자로 인증된 상태에서 API를 통해 Service Ping 페이로드를 다운로드할 수 있는 액세스를 부여합니다.

경고: 외부 권한 부여가 활성화되어 있는 경우, 개인 액세스 토큰은 컨테이너 또는 패키지 레지스트리에 액세스할 수 없습니다. 이러한 레지스트리에 액세스하기 위해 개인 액세스 토큰을 사용하는 경우에는 이 조치가 이러한 토큰의 사용을 막을 수 있습니다. 컨테이너 또는 패키지 레지스트리에 개인 액세스 토큰을 사용하려면 외부 권한 부여를 비활성화하십시오.

액세스 토큰 만료

개인 액세스 토큰은 사용자가 정의한 날짜에 만료되며, 자정인 00:00 AM UTC에 만료됩니다. 만료 날짜가 2024-01-01인 토큰은 2024-01-01의 00:00:00 UTC에 만료됩니다.

  • GitLab은 매일 01:00 AM UTC에 7일 후에 만료되는 개인 액세스 토큰을 식별하기 위해 확인을 실행합니다. 이러한 토큰의 소유자에게는 이메일로 알림이 전송됩니다.
  • GitLab은 매일 02:00 AM UTC에 현재 날짜에 만료되는 개인 액세스 토큰을 식별하기 위해 확인을 실행합니다. 이러한 토큰의 소유자에게는 이메일로 알림이 전송됩니다.
  • GitLab Ultimate에서는 운영자가 액세스 토큰의 허용 가능한 수명을 제한할 수 있습니다. 설정되지 않으면, 개인 액세스 토큰의 최대 허용 수명은 365일입니다.
  • GitLab Free 및 Premium에서는 개인 액세스 토큰의 최대 허용 수명이 365일입니다.
  • 개인 액세스 토큰을 생성할 때 만료 날짜를 설정하지 않으면, 만료 날짜는 토큰의 최대 허용 수명으로 설정됩니다. 허용된 최대 수명이 설정되지 않으면, 기본 만료 날짜는 생성 날짜로부터 365일 후로 설정됩니다.

기존 개인 액세스 토큰에 만료 날짜가 자동으로 적용되는지는 GitLab의 오퍼링과 GitLab 16.0 이상에서의 업그레이드 시기에 따라 다릅니다:

  • GitLab.com의 경우, 16.0 마일스톤에서 만료 날짜가 설정되지 않은 기존 개인 액세스 토큰에 자동으로 현재 날짜로부터 365일 뒤의 만료 날짜가 적용되었습니다.
  • GitLab Self-managed의 경우, GitLab 15.11 이하 버전에서 GitLab 16.0 이상으로 업그레이드한 경우:
    • 2024년 7월 23일 이전에 만료 날짜가 설정되지 않은 기존 개인 액세스 토큰에는 자동으로 현재 날짜로부터 365일 뒤의 만료 날짜가 적용되었습니다. 이 변경은 파괴적인 변경입니다.
    • 2024년 7월 24일 이후에 만료 날짜가 설정되지 않은 기존 개인 액세스 토큰에는 만료 날짜가 설정되지 않았습니다.

GitLab Self-managed의 경우, 다음 GitLab 버전 중 하나를 신규 설치하는 경우, 기존 개인 액세스 토큰에는 만료 날짜가 자동으로 적용되지 않습니다:

  • 16.0.9
  • 16.1.7
  • 16.2.10
  • 16.3.8
  • 16.4.6
  • 16.5.9
  • 16.6.9
  • 16.7.9
  • 16.8.9
  • 16.9.10
  • 16.10.9
  • 16.11.7
  • 17.0.5
  • 17.1.3
  • 17.2.1

개인 액세스 토큰 만료 캘린더

각 토큰의 만료 날짜 이벤트를 포함하는 iCalendar 엔드포인트를 구독할 수 있습니다. 로그인한 후, 이 엔드포인트는 /-/user_settings/personal_access_tokens.ics에서 사용할 수 있습니다.

만료 날짜가 없는 서비스 계정 개인 액세스 토큰 생성

서비스 계정용 개인 액세스 토큰을 생성할 때 만료 날짜가 없는 개인 액세스 토큰을 생성할 수 있습니다. 이러한 개인 액세스 토큰은 서비스 계정이 아닌 개인 액세스 토큰과 달리 만료되지 않습니다.

참고: 서비스 계정용 개인 액세스 토큰에 만료 날짜를 설정하지 않도록 허용하는 것은 이 설정을 변경한 후에 생성된 토큰에만 영향을 미치며, 기존 토큰에는 영향을 미치지 않습니다.

GitLab.com

필수 조건: - 최상위 그룹에 대한 소유자 역할이 있어야 합니다.

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 그룹을 찾습니다.
  2. 설정 > 일반 > 권한 및 그룹 기능을 선택합니다.
  3. 서비스 계정 토큰 만료 확인란을 선택 취소합니다.

이제 서비스 계정 사용자를 위해 만료 날짜가 없는 개인 액세스 토큰을 생성할 수 있습니다.

Self-managed GitLab

필수 조건: - Self-managed 인스턴스의 관리자여야 합니다.

  1. 왼쪽 사이드바에서 맨 아래쪽에 있는 관리자를 선택합니다.
  2. 설정 > 일반을 선택합니다.
  3. 계정 및 제한을 확장합니다.
  4. 서비스 계정 토큰 만료 확인란을 선택 취소합니다.

이제 서비스 계정 사용자를 위해 만료 날짜가 없는 개인 액세스 토큰을 생성할 수 있습니다.

프로그래밍 방식으로 개인 액세스 토큰 생성

Tier: Free, Premium, Ultimate Offering: Self-managed, GitLab Dedicated

테스트 또는 자동화의 일부로 미리 결정된 개인 액세스 토큰을 생성할 수 있습니다.

필수 조건: - GitLab 인스턴스에서 Rails 콘솔 세션을 실행할 충분한 액세스가 필요합니다.

개인 액세스 토큰을 프로그래밍 방식으로 생성하려면:

  1. Rails 콘솔을 엽니다: 

    sudo gitlab-rails console

  2. 다음 명령을 실행하여 사용자 이름, 토큰 및 스코프를 참조합니다.

    토큰은 20자여야 합니다. 스코프는 유효해야 하며, 소스 코드에서 확인할 수 있습니다.

    예를 들어, 사용자 이름이 automation-bot이고 1년 후에 만료되는 토큰을 생성하려면: 

    user = User.find_by_username('automation-bot')
token = user.personal_access_tokens.create(scopes: ['read_user', 'read_repository'], name: 'Automation token', expires_at: 365.days.from_now)
token.set_token('token-string-here123')
token.save!

이 코드는 Rails runner를 사용하여 단일 줄의 셸 명령으로 줄일 수 있습니다: 

sudo gitlab-rails runner "token = User.find_by_username('automation-bot').personal_access_tokens.create(scopes: ['read_user', 'read_repository'], name: 'Automation token', expires_at: 365.days.from_now); token.set_token('token-string-here123'); token.save!"

프로그래밍 방식으로 개인 액세스 토큰 취소

Tier: Free, Premium, Ultimate Offering: Self-managed, GitLab Dedicated

테스트 또는 자동화의 일부로 개인 액세스 토큰을 프로그래밍 방식으로 취소할 수 있습니다.

필수 조건: - GitLab 인스턴스에서 Rails 콘솔 세션을 실행할 충분한 액세스가 필요합니다.

토큰을 프로그래밍 방식으로 취소하려면:

  1. Rails 콘솔을 엽니다: 

    sudo gitlab-rails console

  2. token-string-here123의 토큰을 취소하려면 다음 명령을 실행합니다: 

    token = PersonalAccessToken.find_by_token('token-string-here123')
token.revoke!

이 코드는 Rails runner를 사용하여 단일 줄의 셸 명령으로 줄일 수 있습니다: 

sudo gitlab-rails runner "PersonalAccessToken.find_by_token('token-string-here123').revoke!"

Personal Access Token을 사용하여 저장소 복제

Tier: Free, Premium, Ultimate Offering: Self-Managed, GitLab Dedicated

SSH가 비활성화된 상황에서 저장소를 복제하려면 다음 명령을 실행하여 개인 액세스 토큰을 사용하여 복제하세요. 

git clone https://<username>:<personal_token>@gitlab.com/gitlab-org/gitlab.git

이 방법은 개인 액세스 토큰을 bash 히스토리에 저장합니다. 이를 피하려면 다음 명령을 실행하세요. 

git clone https://<username>@gitlab.com/gitlab-org/gitlab.git

clone 명령어의 username:

  • 임의의 문자열 값이 될 수 있습니다.
  • 빈 문자열이면 안 됩니다.

인증에 의존하는 자동화 파이프라인을 설정하는 경우 이를 기억하세요.

문제 해결

개인 액세스 토큰을 취소 해제

Tier: Free, Premium, Ultimate Offering: Self-Managed, GitLab Dedicated

개인 액세스 토큰이 실수로 취소된 경우, 관리자는 해당 토큰을 다시 취소 해제할 수 있습니다. 기본적으로 매일 1:00 AM 시스템 시간에 취소된 토큰이 삭제되는 작업이 실행됩니다.

경고: 다음 명령을 실행하면 데이터가 직접 변경됩니다. 이것은 올바르게 또는 올바른 조건에서 수행되지 않으면 손상될 수 있습니다. 경우에 따라 백업을 한 인스턴스의 테스트 환경에서 먼저 이 명령을 실행하고, 그렇지 않은 경우에 대비하여 복원될 준비가 되어 있어야 합니다.

  1. Rails 콘솔을 엽니다.

  2. 토큰을 취소 해제합니다: 

    token = PersonalAccessToken.find_by_token('<token_string>')
token.update!(revoked:false)

    예를 들어, token-string-here123 토큰을 다시 취소 해제하려면: 

    token = PersonalAccessToken.find_by_token('token-string-here123')
token.update!(revoked:false)

개인 액세스 토큰 대체 방법

HTTPS를 통한 Git의 경우, 개인 액세스 토큰 대신 OAuth 자격 증명 도우미를 사용할 수 있습니다.