Документация/Руководство администратора/API-ключи

API-ключи

API-ключи — это то, как всё за пределами админ-интерфейса SecureCodingHub разговаривает с публичной REST и webhook-поверхностью. Админ-страница выпускает ключи, перечисляет активные и отозванные ключи и отзывает отдельные ключи. Полная справка о том, что каждый ключ может делать, живёт в API → Аутентификация и области доступа.

Где это находится

Боковая панель → API-ключи в разделе Интеграции, по адресу /organization/api-keys.

Создание ключа

Нажмите + Создать новый ключ. Диалог запрашивает:

  • Имя — короткая метка, появляющаяся в списке ключей и в записях журнала аудита. Используйте что-то описательное («CI/CD GitHub Actions», «BI Looker sync», «Jira ticketing»).
  • Области — точные разрешения, сгруппированные по ресурсу. 16 областей задокументированы в API → Аутентификация и области доступа. Выбирайте только то, что нужно интеграции.
  • Срок действия (опционально) — дата, после которой ключ перестаёт работать. Полезно для proof of concept и оценок вендоров. Оставьте пустым для ключей, которые должны оставаться действительными до ручного отзыва.

При отправке диалог отображает полный токен (scs_live_…) один раз. Скопируйте его в Ваш менеджер секретов немедленно. После закрытия диалога видны только префикс и последние четыре символа — сервер хранит только SHA-256-хеш, поэтому даже поддержка SecureCodingHub не может получить полный токен впоследствии.

Список и просмотр ключей

Представление списка показывает каждый активный и отозванный ключ для Вашей организации. Колонки:

КолонкаОписание
ИмяМетка, которую Вы дали ключу при создании.
Префикс … Последние4Первые 13 и последние 4 символа токена. Достаточно для распознавания ключа без его восстановления.
ОбластиТочные разрешения на ключе. Наведите для полного списка, когда их много.
Создано кем / когдаАдминистратор, выпустивший ключ, и когда.
Последнее использованиеВременная метка последнего успешного API-вызова против этого ключа. Пусто для ключей, которые никогда не использовались.
СтатусActive, Expired или Revoked.

Отзыв ключа

Нажмите Отозвать на строке ключа. Отзыв немедленный — запросы в полёте, использующие ключ, начинают получать 401 unauthorized в течение секунд. Нет состояния «pause» и нет способа отменить отзыв; отзыв постоянный. Журнал аудита захватывает действие как apikey.revoked с идентификацией актора.

Если ключ утёк, отзовите его. Если Вам нужно ротировать ключ без простоя, создайте сначала замену, разверните новый токен и отзовите старый только после того, как новый зарегистрировал хотя бы одну успешную временную метку Last used.

Лимиты запросов на ключ

Каждый ключ управляется двумя скользящими окнами: 60 запросов в минуту и 1 000 запросов в час. Запросы сверх любого окна возвращают 429 rate_limited с заголовком Retry-After. Лимиты на каждый ключ, поэтому выпуск одного ключа на интеграцию — это также способ предотвратить ситуацию, когда одна шумная автоматизация лишает другую. Полное руководство по повторным попыткам в API → Лимиты запросов.