OpenShift 文档正在迁移,不久后将只在 docs.redhat.com (所有 Red Hat 产品文档的中心)提供。立即体验 新的文档体验
  1. 文档
    2. history bug_report picture_as_pdf
×

配置 API 令牌

Red Hat Advanced Cluster Security for Kubernetes (RHACS) 某些系统集成、身份验证流程和系统功能需要 API 令牌。您可以使用 RHACS Web 界面配置令牌。

  • 为防止权限升级,创建新令牌时,您的角色权限会限制您可以为该令牌分配的权限。例如,如果您只有 Integration 资源的读取权限,则无法创建具有写入权限的令牌。

  • 如果您希望自定义角色为其他用户创建令牌供其使用,则必须为该自定义角色分配所需的权限。

  • 对于机器与机器之间的通信,例如 CI/CD 管道、脚本和其他自动化操作,请使用短期令牌。对于人与机器之间的通信,例如 `roxctl` CLI 或 API 访问,请使用 `roxctl central login` 命令。

创建 API 令牌

步骤

  1. 在 RHACS 门户中,转到**平台配置** → **集成**。

  2. 滚动到**身份验证令牌**类别,然后单击**API 令牌**。

  3. 单击**生成令牌**。

  4. 输入令牌名称并选择提供所需访问级别的角色(例如,**持续集成**或**传感器创建者**)。

  5. 单击**生成**。

    复制生成的令牌并安全地存储它。您将无法再次查看它。
其他资源

关于 API 令牌过期

API 令牌自创建之日起一年后过期。当令牌将在不到一周内过期时,RHACS 会在 Web 界面中向您发出警报,并向 Central 发送日志消息。日志消息进程每小时运行一次。该进程每天列出即将过期的令牌,并为每个令牌创建一个日志消息。日志消息每天发布一次,并出现在 Central 日志中。

日志格式如下例所示

Warn: API Token [token name] (ID [token ID]) will expire in less than X days.

您可以通过配置下表中所示的环境变量来更改日志消息进程的默认设置

环境变量

默认值

描述

ROX_TOKEN_EXPIRATION_NOTIFIER_INTERVAL

1h(1 小时)

列出令牌并创建日志的日志消息后台循环运行的频率。

ROX_TOKEN_EXPIRATION_NOTIFIER_BACKOFF_INTERVAL

24h(1 天)

循环列出令牌并发出通知的频率。

ROX_TOKEN_EXPIRATION_DETECTION_WINDOW

168h(1 周)

令牌过期前将导致生成通知的时间段。