Docs/管理者ガイド/APIキー

APIキー

APIキーは、SecureCodingHub管理UIの外部のものが公開RESTおよびWebhookサーフェスと通信する方法です。管理者ページはキーを発行し、アクティブで取り消されたキーをリストし、個別のキーを取り消します。各キーが実際にできることの完全なリファレンスはAPI → 認証とスコープにあります。

場所

サイドバー → 統合セクションの下のAPIキー/organization/api-keysにあります。

キーの作成

+ 新しいキーを作成をクリックします。ダイアログは以下を要求します:

  • 名前 — キーリストと監査ログエントリに表示される短いラベル。説明的なもの (「CI/CD GitHub Actions」「BI Looker sync」「Jira ticketing」) を使用してください。
  • スコープ — リソースでグループ化されたきめ細かい権限。16のスコープはAPI → 認証とスコープに文書化されています。統合が必要なものだけを選択してください。
  • 有効期限 (オプション) — キーが動作を停止する日付。概念実証とベンダー評価に便利です。手動で取り消されるまで有効でなければならないキーは空白のままにします。

送信時、ダイアログは完全なトークン (scs_live_…) を一度だけ表示します。すぐにシークレットマネージャーにコピーしてください。ダイアログを閉じると、プレフィックスと最後の4文字のみが表示されます — サーバーはSHA-256ハッシュのみを保存するため、SecureCodingHubサポートでさえ後で完全なトークンを取得できません。

キーのリストと検査

リストビューには、組織のすべてのアクティブおよび取り消されたキーが表示されます。列:

説明
名前作成時にキーに付けたラベル。
プレフィックス … Last4トークンの最初の13文字と最後の4文字。回復せずにキーを認識するのに十分です。
スコープキーのきめ細かい権限。多くある場合はホバーで完全なリストを表示。
作成者 / 作成日キーを発行した管理者と発行日時。
最終使用このキーに対する最新の成功したAPI呼び出しのタイムスタンプ。使用されたことのないキーは空白。
ステータスアクティブ、期限切れ、または取り消し。

キーの取り消し

キー行で取り消しをクリックします。取り消しは即時です — キーを使用している進行中のリクエストは数秒以内に401 unauthorizedを受信し始めます。「一時停止」状態や取り消しを元に戻す方法はありません。取り消しは永続的です。監査ログは、アクションをapikey.revokedとしてアクター身元とともにキャプチャします。

キーが漏洩した場合は取り消します。ダウンタイムなしでキーを回転させる必要がある場合は、最初に置換を作成し、新しいトークンをデプロイし、新しいキーが少なくとも1回の成功した最終使用タイムスタンプをログに記録した後にのみ古いキーを取り消します。

キーごとのレート制限

すべてのキーは2つのスライディングウィンドウによって管理されます: 1分あたり60リクエストと1時間あたり1,000リクエスト。いずれかのウィンドウを超えるリクエストは、Retry-Afterヘッダー付きで429 rate_limitedを返します。制限はキーごとなので、統合ごとに1つのキーを発行することも、1つのノイズの多い自動化が別の自動化を飢餓させるのを防ぐ方法です。完全な再試行ガイダンスはAPI → レート制限にあります。