개인 액세스 토큰

Tier: Free, Premium, Ultimate Offering: GitLab.com, Self-managed, GitLab Dedicated

개인 액세스 토큰은 OAuth2의 대안이 될 수 있으며 다음과 같이 사용할 수 있습니다:

  • GitLab API와 인증합니다.
  • HTTP Basic Authentication을 사용하여 Git과 인증합니다.

두 경우 모두 비밀번호 대신 개인 액세스 토큰으로 인증합니다.

개인 액세스 토큰은 다음과 같습니다:

note
필요하지만, 개인 액세스 토큰으로 인증할 때 GitLab 사용자 이름은 무시됩니다.
GitLab 사용자가 이름을 사용할 수 있도록 하는 추적 이슈가 있습니다.

API로 인증하는 방법에 대한 예는 API 문서를 참조하세요.

또는 GitLab 관리자는 API를 사용하여 위임 토큰을 생성할 수 있습니다.
위임 토큰을 사용하여 특정 사용자로서 인증을 자동화하십시오.

개인 액세스 토큰 만들기

  • GitLab 15.3에서 도입되어, UI에서 기본 만료일이 30일로 설정됩니다.
  • GitLab 16.0에서 만료되지 않는 개인 액세스 토큰 생성 기능이 제거되었습니다.
caution
만료 날짜 없이 개인 액세스 토큰을 생성하는 기능은 GitLab 15.4에서 사용 중단되었습니다
그리고 GitLab 16.0에서 제거되었습니다.
개인 액세스 토큰이 만료되는 시점 및 기존 토큰에 대한 만료 날짜 추가에 대한 자세한 내용은 액세스 토큰 만료 문서를 참조하세요.

원하는 만큼 많은 개인 액세스 토큰을 생성할 수 있습니다.

  1. 왼쪽 사이드바에서 아바타를 선택합니다.
  2. 프로필 편집을 선택합니다.
  3. 왼쪽 사이드바에서 액세스 토큰을 선택합니다.
  4. 새 토큰 추가를 선택합니다.
  5. 토큰의 이름과 만료 날짜를 입력합니다.
    • 토큰은 해당 날짜에 자정 UTC에 만료됩니다. 예를 들어, 2024-01-01의 만료 날짜를 가진 토큰은 2024-01-01의 00:00:00 UTC에 만료됩니다.
    • 만료 날짜를 입력하지 않으면, 만료 날짜는 현재 날짜보다 365일 후로 자동 설정됩니다.
    • 기본적으로 이 날짜는 현재 날짜보다 최대 365일 후로 설정될 수 있습니다.
  6. 원하는 범위를 선택합니다.
  7. 개인 액세스 토큰 만들기를 선택합니다.

개인 액세스 토큰을 안전한 곳에 저장하세요. 페이지를 떠나면 더 이상 토큰에 접근할 수 없습니다.

개인 액세스 토큰 이름 및 범위 미리 채우기

개인 액세스 토큰 페이지에 직접 링크하고 이름과 범위 목록으로 양식을 미리 채울 수 있습니다. 이를 위해 URL에 name 매개변수와 쉼표로 구분된 범위 목록을 추가하면 됩니다. 예를 들어:

https://gitlab.example.com/-/user_settings/personal_access_tokens?name=Example+Access+token&scopes=api,read_user,read_registry

경고: 개인 액세스 토큰은 신중하게 취급해야 합니다. 개인 액세스 토큰 관리에 대한 지침은 토큰 보안 고려 사항을 읽어보세요. (예: 짧은 만료 시간을 설정하고 최소한의 범위를 사용하기)

개인 액세스 토큰 취소

언제든지 개인 액세스 토큰을 취소할 수 있습니다.

  1. 왼쪽 사이드바에서 아바타를 선택하세요.
  2. 프로필 편집을 선택하세요.
  3. 왼쪽 사이드바에서 액세스 토큰을 선택하세요.
  4. 활성 개인 액세스 토큰 영역에서 관련된 토큰에 대해 취소를 선택하세요.
  5. 확인 대화 상자에서 취소를 선택하세요.

개인 액세스 토큰 비활성화

상세 정보: Tier: Premium, Ultimate Offering: Self-managed, GitLab Dedicated

전제 조건:

  • 관리자가 되어야 합니다.

GitLab 버전에 따라 애플리케이션 설정 API 또는 관리 UI를 사용하여 개인 액세스 토큰을 비활성화할 수 있습니다.

애플리케이션 설정 API 사용

GitLab 15.7 및 이후 버전에서는 개인 액세스 토큰을 비활성화하기 위해 애플리케이션 설정 API의 disable_personal_access_tokens 속성을 사용할 수 있습니다.

참고: API를 사용하여 개인 액세스 토큰을 비활성화한 후에는, 후속 API 호출에서 이 설정을 관리하기 위해 해당 토큰을 사용할 수 없습니다. 개인 액세스 토큰을 다시 활성화하려면 GitLab Rails 콘솔을 사용해야 하며, 대신 관리 UI를 사용하려면 GitLab 17.3 이상의 버전으로 업그레이드해야 합니다.

관리 UI 사용

GitLab 17.3 및 이후 버전에서는 관리 UI를 사용하여 개인 액세스 토큰을 비활성화할 수 있습니다:

  1. 왼쪽 사이드바 하단에서 관리자를 선택하세요.
  2. 설정 > 일반을 선택하세요.
  3. 가시성 및 액세스 제어를 확장하세요.
  4. 개인 액세스 토큰 비활성화 체크박스를 선택하세요.
  5. 변경 사항 저장을 선택하세요.

엔터프라이즈 사용자에 대한 개인 액세스 토큰 비활성화

전제 조건:

  • 엔터프라이즈 사용자가 속한 그룹에 대한 소유자 역할이 있어야 합니다.

그룹의 엔터프라이즈 사용자의 개인 액세스 토큰을 비활성화하면:

  • 엔터프라이즈 사용자가 새로운 개인 액세스 토큰을 생성할 수 없습니다. 이 동작은 엔터프라이즈 사용자도 그룹의 관리자일 경우에도 적용됩니다.
  • 엔터프라이즈 사용자의 기존 개인 액세스 토큰이 비활성화됩니다.

참고: 엔터프라이즈 사용자의 개인 액세스 토큰 비활성화는 서비스 계정의 개인 액세스 토큰을 비활성화하지 않습니다.

엔터프라이즈 사용자의 개인 액세스 토큰을 비활성화하려면:

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 그룹 또는 하위 그룹을 찾으세요.
  2. 설정 > 일반을 선택하세요.
  3. 권한 및 그룹 기능을 확장하세요.
  4. 개인 액세스 토큰 아래에서 개인 액세스 토큰 비활성화를 선택하세요.
  5. 변경 사항 저장을 선택하세요.

토큰 사용 마지막 조회

  • GitLab 16.0 및 이전 버전에서는 토큰 사용 정보가 24시간마다 업데이트됩니다.
  • GitLab 16.1에서 토큰 사용 정보 업데이트 빈도가 변경되어 24시간에서 10분으로 변경되었습니다.

토큰 사용 정보는 10분마다 업데이트됩니다. GitLab은 다음과 같이 토큰이 사용될 때 이를 사용한 것으로 간주합니다:

  • REST 또는 GraphQL API를 통한 인증.
  • Git 작업 수행.

토큰이 마지막으로 사용된 시간을 보려면:

  1. 왼쪽 사이드바에서 아바타를 선택합니다.
  2. 프로필 편집을 선택합니다.
  3. 왼쪽 사이드바에서 액세스 토큰을 선택합니다.
  4. 활성 개인 액세스 토큰 영역에서 관련 토큰의 마지막 사용 날짜를 조회합니다.

개인 액세스 토큰 범위

  • 개인 액세스 토큰이 더 이상 컨테이너나 패키지 레지스트리에 접근할 수 없게 된 것은 GitLab 16.0에서 도입되었습니다.
  • k8s_proxy는 GitLab 16.4에서 도입되었으며, 기본적으로 활성화된 k8s_proxy_pat라는 플래그가 있습니다.
  • 기능 플래그 k8s_proxy_pat는 GitLab 16.5에서 제거되었습니다.
  • read_service_ping는 GitLab 17.1에서 도입되었습니다.
  • manage_runner는 GitLab 17.1에서 도입되었습니다.

개인 액세스 토큰은 할당된 범위에 따라 작업을 수행할 수 있습니다.

범위 접근
api API에 대한 완전한 읽기/쓰기 접근을 부여하며, 모든 그룹 및 프로젝트, 컨테이너 레지스트리, 의존성 프록시 및 패키지 레지스트리를 포함합니다. 또한 HTTP를 통한 Git을 사용하여 레지스트리 및 저장소에 대한 완전한 읽기/쓰기 접근을 부여합니다.
read_user /user API 엔드포인트를 통해 인증된 사용자 프로필에 대한 읽기 전용 접근을 부여하며, 여기에는 사용자 이름, 공개 이메일 및 전체 이름이 포함됩니다. 또한 /users 아래의 읽기 전용 API 엔드포인트에 접근할 수 있습니다.
read_api API에 대한 읽기 접근을 부여하며, 모든 그룹 및 프로젝트, 컨테이너 레지스트리 및 패키지 레지스트리를 포함합니다.
read_repository Git-over-HTTP 또는 저장소 파일 API를 사용하여 비공식 프로젝트의 저장소에 대한 읽기 전용 접근을 부여합니다.
write_repository Git-over-HTTP를 사용하여 비공식 프로젝트의 저장소에 대한 읽기-쓰기 접근을 부여합니다(API 사용하지 않음).
read_registry 프로젝트가 비공식이고 인증이 필요한 경우 컨테이너 레지스트리 이미지에 대한 읽기 전용(풀) 접근을 부여합니다. 컨테이너 레지스트리가 활성화된 경우에만 가능합니다.
write_registry 프로젝트가 비공식이고 인증이 필요한 경우 컨테이너 레지스트리 이미지에 대한 읽기-쓰기(푸시) 접근을 부여합니다. 컨테이너 레지스트리가 활성화된 경우에만 가능합니다.
sudo 인증된 관리자로 로그인할 때 시스템의 모든 사용자로 API 작업을 수행할 수 있는 권한을 부여합니다.
admin_mode 관리 모드가 활성화된 경우 관리자로서 API 작업을 수행할 수 있는 권한을 부여합니다. (GitLab 15.8에서 도입)
create_runner 러너를 생성할 수 있는 권한을 부여합니다.
manage_runner 러너를 관리할 수 있는 권한을 부여합니다.
ai_features GitLab Duo를 위한 API 작업을 수행할 수 있는 권한을 부여합니다. 이 범위는 JetBrains의 GitLab Duo 플러그인과 함께 작동하도록 설계되었습니다. 모든 다른 확장에 대한 범위 요구 사항은 보십시오.
k8s_proxy Kubernetes를 위한 에이전트를 사용하여 Kubernetes API 호출을 수행할 수 있는 권한을 부여합니다.
read_service_ping 관리자로 인증된 경우 API를 통해 Service Ping 페이로드를 다운로드할 수 있는 권한을 부여합니다.

경고:
외부 인증을 활성화한 경우, 개인 액세스 토큰은 컨테이너 또는 패키지 레지스트리에 접근할 수 없습니다. 이러한 레지스트리에 접근하기 위해 개인 액세스 토큰을 사용하는 경우, 이 조치에 의해 토큰 사용이 중단됩니다. 컨테이너 또는 패키지 레지스트리와 함께 개인 액세스 토큰을 사용하려면 외부 인증을 비활성화하십시오.

접근 토큰 만료

개인 접근 토큰은 사용자가 정의한 날짜의 자정, UTC 00:00에 만료됩니다. 만료일이 2024-01-01인 토큰은 2024-01-01 UTC 00:00:00에 만료됩니다.

  • GitLab은 매일 UTC 오전 01:00에 향후 7일 이내에 만료될 개인 접근 토큰을 식별하기 위해 확인을 수행합니다. 이러한 토큰의 소유자는 이메일로 통지됩니다.
  • GitLab은 매일 UTC 오전 02:00에 현재 날짜에 만료될 개인 접근 토큰을 식별하기 위해 확인을 수행합니다. 이러한 토큰의 소유자는 이메일로 통지됩니다.
  • GitLab Ultimate에서는 관리자가 접근 토큰의 허용 가능한 수명을 제한할 수 있습니다. 설정하지 않으면 개인 접근 토큰의 최대 허용 수명은 365일입니다.
  • GitLab Free 및 Premium에서 개인 접근 토큰의 최대 허용 수명은 365일입니다.
  • 개인 접근 토큰을 생성할 때 만료일을 설정하지 않으면, 만료일은 토큰의 최대 허용 수명으로 설정됩니다. 최대 허용 수명이 설정되지 않으면 기본 만료일은 생성일로부터 365일입니다.

기존 개인 접근 토큰에 만료일이 자동으로 적용되는지는 사용자가 어떤 GitLab 오퍼링을 사용하는지와 GitLab 16.0 또는 이후 버전으로 업그레이드한 시기에 따라 다릅니다:

  • GitLab.com에서는 16.0 마일스톤 동안, 만료일이 없는 기존 개인 접근 토큰에 현재 날짜로부터 365일 후의 만료일이 자동으로 부여되었습니다.
  • GitLab 셀프 관리에서는 GitLab 15.11 이전 버전에서 GitLab 16.0 이상으로 업그레이드한 경우:
    • 2024년 7월 23일 이전에는, 만료일이 없는 기존 개인 접근 토큰에 현재 날짜로부터 365일 후의 만료일이 자동으로 부여되었습니다. 이 변경은 중단되는 변경입니다.
    • 2024년 7월 24일 이후에는, 만료일이 없는 기존 개인 접근 토큰에 만료일이 설정되지 않았습니다.

GitLab 셀프 관리에서 다음 GitLab 버전 중 하나를 새로 설치하면, 기존 개인 접근 토큰에 만료일이 자동으로 적용되지 않습니다:

  • 16.0.9
  • 16.1.7
  • 16.2.10
  • 16.3.8
  • 16.4.6
  • 16.5.9
  • 16.6.9
  • 16.7.9
  • 16.8.9
  • 16.9.10
  • 16.10.9
  • 16.11.7
  • 17.0.5
  • 17.1.3
  • 17.2.1

개인 접근 토큰 만료 일정

각 토큰의 만료일에 대한 이벤트를 포함하는 iCalendar 엔드포인트를 구독할 수 있습니다. 로그인 후, 이 엔드포인트는 /-/user_settings/personal_access_tokens.ics에서 사용할 수 있습니다.

만료일 없는 서비스 계정 개인 접근 토큰 생성

만료일이 없는 서비스 계정용 개인 접근 토큰을 생성할 수 있습니다. 이러한 개인 접근 토큰은 비서비스 계정 개인 접근 토큰과 달리 만료되지 않습니다.

참고:

서비스 계정용 개인 접근 토큰을 만료일 없이 생성할 수 있도록 허용하는 것은 이 설정을 변경한 후에 생성된 토큰에만 영향을 미칩니다. 기존 토큰에는 영향을 미치지 않습니다.

GitLab.com

전제 조건:

  • 상위 그룹에 대한 소유자 역할이 있어야 합니다.

  1. 왼쪽 사이드바에서 검색 또는 이동을 선택하고 그룹을 찾습니다.

  2. 설정 > 일반 > 권한 및 그룹 기능을 선택합니다.

  3. 서비스 계정 토큰 만료 체크박스를 해제합니다.

이제 만료 날짜가 없는 서비스 계정 사용자에 대한 개인 액세스 토큰을 생성할 수 있습니다.

Self-managed GitLab

전제 조건:

  • 자체 관리 인스턴스에 대한 관리자가 되어야 합니다.

  1. 왼쪽 사이드바 하단에서 관리자를 선택합니다.

  2. 설정 > 일반을 선택합니다.

  3. 계정 및 제한을 확장합니다.

  4. 서비스 계정 토큰 만료 체크박스를 해제합니다.

이제 만료 날짜가 없는 서비스 계정 사용자에 대한 개인 액세스 토큰을 생성할 수 있습니다.

개인 액세스 토큰을 프로그래밍 방식으로 생성하기

Tier: Free, Premium, Ultimate Offering: Self-managed, GitLab Dedicated

테스트나 자동화의 일환으로 미리 정해진 개인 액세스 토큰을 생성할 수 있습니다.

전제 조건:

  • GitLab 인스턴스에 대한 Rails 콘솔 세션을 실행할 수 있는 충분한 액세스 권한이 필요합니다.

개인 액세스 토큰을 프로그래밍 방식으로 생성하려면:

  1. Rails 콘솔을 엽니다:

    sudo gitlab-rails console

  2. 사용자 이름, 토큰 및 범위를 참조하기 위해 다음 명령을 실행합니다.

    토큰은 20자 길이여야 합니다. 범위는 유효해야 하며 소스 코드에서 확인할 수 있습니다.

    예를 들어, 사용자 이름이 automation-bot인 사용자의 토큰을 생성하고 1년 후 만료되도록 하려면:

    user = User.find_by_username('automation-bot')
token = user.personal_access_tokens.create(scopes: ['read_user', 'read_repository'], name: 'Automation token', expires_at: 365.days.from_now)
token.set_token('token-string-here123')
token.save!

이 코드는 Rails runner를 사용하여 단일 줄 셸 명령으로 줄일 수 있습니다:

sudo gitlab-rails runner "token = User.find_by_username('automation-bot').personal_access_tokens.create(scopes: ['read_user', 'read_repository'], name: 'Automation token', expires_at: 365.days.from_now); token.set_token('token-string-here123'); token.save!"

개인 액세스 토큰을 프로그래밍 방식으로 취소하기

Tier: Free, Premium, Ultimate Offering: Self-managed, GitLab Dedicated

테스트나 자동화의 일환으로 개인 액세스 토큰을 프로그래밍 방식으로 취소할 수 있습니다.

전제 조건:

  • GitLab 인스턴스에 대한 Rails 콘솔 세션을 실행할 수 있는 충분한 액세스 권한이 필요합니다.

토큰을 프로그래밍 방식으로 취소하려면:

  1. Rails 콘솔을 엽니다:

    sudo gitlab-rails console

  2. token-string-here123의 토큰을 취소하려면 다음 명령을 실행합니다:

    token = PersonalAccessToken.find_by_token('token-string-here123')
token.revoke!

이 코드는 Rails runner를 사용하여 단일 줄 셸 명령으로 줄일 수 있습니다:

sudo gitlab-rails runner "PersonalAccessToken.find_by_token('token-string-here123').revoke!"

개인 액세스 토큰을 사용하여 리포지토리 복제하기

Tier: Free, Premium, Ultimate Offering: Self-managed, GitLab Dedicated

SSH가 비활성화된 경우 리포지토리를 클론하려면 다음 명령을 실행하여 개인 액세스 토큰을 사용하십시오:

git clone https://<username>:<personal_token>@gitlab.com/gitlab-org/gitlab.git

이 방법은 개인 액세스 토큰을 bash 기록에 저장합니다. 이를 피하려면 다음 명령을 실행하십시오:

git clone https://<username>@gitlab.com/gitlab-org/gitlab.git

https://gitlab.com에 대한 비밀번호 요청 시, 개인 액세스 토큰을 입력하십시오.

clone 명령의 username:

  • 어떤 문자열 값도 사용할 수 있습니다.
  • 빈 문자열일 수는 없습니다.

인증에 의존하는 자동화 파이프라인을 설정하는 경우 이를 기억하십시오.

문제 해결

개인 액세스 토큰 복원하기

Tier: Free, Premium, Ultimate Offering: Self-managed, GitLab Dedicated

어떤 방법으로든 개인 액세스 토큰이 실수로 취소된 경우, 관리자는 해당 토큰을 복원할 수 있습니다. 기본적으로, 매일 작업이 시스템 시간 기준으로 오전 1시에 취소된 토큰을 삭제합니다.

경고:
다음 명령을 실행하면 데이터가 직접 변경됩니다. 올바르게 수행되지 않거나 적절한 조건에서 수행되지 않으면 손상을 일으킬 수 있습니다. 인스턴스의 백업이 복원 준비가 된 상태에서 테스트 환경에서 먼저 이러한 명령을 실행해야 합니다.

  1. Rails 콘솔을 엽니다.

  2. 토큰을 복원합니다:

    token = PersonalAccessToken.find_by_token('<token_string>')  
token.update!(revoked:false)

    예를 들어, token-string-here123의 토큰을 복원하려면:

    token = PersonalAccessToken.find_by_token('token-string-here123')  
token.update!(revoked:false)

개인 액세스 토큰의 대안

HTTPS를 통한 Git에 대한 개인 액세스 토큰의 대안은 OAuth 자격 증명 도우미를 사용하는 것입니다.