Sauter au contenu

Clés API

API clés utilisent le contrôle d'accès basé sur le rôle (RBAC). Une clé peut avoir un rôle organisationnel, des liens d'application, ou les deux. Chaque lien d'application reste associé à l'organisation propriétaire de l'application. Pour le moins privilégié, restreignez une clé à des applications sélectionnées au lieu d'attribuer un rôle organisationnel.

Naviguer Paramètres > Organisation > API Clés à console.capgo.app/settings/organisation/api-clés.

La page affiche deux sections :

  • Clés RBAC — Clés avec des rôles assignés (recommandé). Ces clés utilisent le nouveau système de permission basé sur les rôles.
  • Clés Legacy — Anciennes clés qui utilisent le système de mode simple (",") sans affectation de rôles.read, upload, write, all__CAPGO_KEEP_0__ page de liste de clés montrant les sections RBAC et Legacy
Comment créer une nouvelle API clé ?

Section intitulée “Comment créer une nouvelle API clé ?”

Section titled “How to create a new API key?”
  1. Cliquez sur le bouton en haut de la table des clés RBAC. ”+” Remplissez les informations de clé.

  2. Nom de la clé Nom:

    • (obligatoire) — Un étiquette descriptive pour la clé (par exemple, « Déployer CI/CD » ou « Lecture seule de surveillance »). Créer une clé sécurisée
    • (facultatif) — Lorsque sélectionné, la clé est hachée côté serveur. La clé au texte brut n'est affichée que une seule fois après la création et ne peut pas être récupérée ultérieurement. Définir la date d'expiration
    • (facultatif) — Sélectionnez une date après laquelle la clé cesse de fonctionner. Certaines organisations imposent une expiration obligatoire par politique. Cliquez sur le bouton en haut de la table des clés RBAC.
Création de la clé avec le formulaire API contenant le nom, l'option de clé sécurisée et l'expiration
  1. Choisissez la portée de la clé :

    • Accès organisationnel global — Sélectionnez un Rôle d'organisation pour définir les permissions de base à l'échelle de l'organisation. Les rôles disponibles dépendent du niveau de votre propre rôle :
      • Aucun — Pas d'accès organisationnel global.
      • Membre — Accès de lecture de base à l'organisation.
      • Administrateur — Accès administratif complet à l'organisation et à tous ses applications.
    • Accès uniquement aux applications — Activer Limitez cette clé aux applications sélectionnéesChaque liaison d'application reste liée à l'organisation propriétaire de cette application ; ce mode omet uniquement un rôle RBAC organisationnel.
  2. Si la clé doit créer des organisations à travers le API public, activez Autoriser la création d'organisations.

    Cela ajoute la permission globale. org.create La clé a également besoin d'une liaison d'organisation org_admin ou org_super_admin en sélectionnant Administrateur crée la org_admin Lorsque cette clé crée une nouvelle organisation, Capgo attribue automatiquement la clé en tant que Super Admin sur cette nouvelle organisation.

  3. Pour accorder l'accès à l'application :

    • Lorsque Limitez cette clé aux applications sélectionnées est activé, choisissez une organisation sous Organisations pour filtrer les applications pour révéler ses applications. Les liens d'applications sélectionnés restent associés à leurs organisations propriétaires ; ce filtre ne concède pas l'accès organisationnel.
    • Cliquez sur ”+ Ajouter l'application”Sélectionnez une ou plusieurs applications, puis attribuez un rôle à chacune :
      • Lecture de l'application — Accès en lecture seule à l'application. Organisations
      • App Uploader — Peut télécharger de nouvelles archives.
      • App Developer — Peut télécharger des archives, gérer les appareils, déclencher des builds natifs et mettre à jour les paramètres de canal.
      • App Admin — Accès complet à l'application.
      • App Preview — Prévisualisez le cycle CI/CD : téléchargez une archive et créez un canal de prévisualisation. Le canal reçoit des droits de cycle automatiques, uniquement pour ce clé, à l'échelle du canal.
  4. Click “Créer”.

  5. Si vous avez coché Créer une clé sécurisée, une fenêtre contextuelle affiche la clé au format texte. Copiez-la immédiatement — elle ne peut pas être récupérée après la fermeture de la fenêtre contextuelle.

Clé de modal de secret API avec bouton de copie

Utilisez une clé d'App Preview pour les workflows de prévisualisation

Sous-section intitulée « Utilisez une clé d'App Preview pour les workflows de prévisualisation »

Utilisez App Preview pour les CI qui créent un canal de prévisualisation temporaire et non public, chargent et promeuvent un bundle, puis suppriment à la fois le canal et le bundle. Il n'a pas d'accès à la vie du cycle d'une canal par défaut ou principal existant.

  1. Créez une clé RBAC et activez-la Limitez cette clé aux applications sélectionnées.
  2. Sous Organisations pour filtrer les applicationsSélectionnez l'organisation pour afficher ses applications ; chaque application sélectionnée reste associée à son propriétaire organisation.
  3. Ajoutez uniquement l'application ou les applications utilisées pour les déploiements de prévisualisation.
  4. Sélectionner Prévisualisation d'application pour chaque application sélectionnée.
  5. Créez une clé sécurisée, définissez une date d'expiration si nécessaire, et stockez-la dans votre gestionnaire de secrets CI.

Ce mode sélection-apps-omis omet un rôle organisationnel global ; il ne supprime pas l'association organisationnelle. Chaque liaison reste scoping à son application sélectionnée et à celle de son propriétaire organisation. app_preview Accorder

for each selected app.Autorisations et limites
app_preview sur l'application sélectionnéeapp.read, app.read_bundles, app.upload_bundle, et app.create_channel.
Automatique channel_preview liaisonLorsque cette clé crée un canal, Capgo donne automatiquement la clé channel.read, channel.promote_bundle, et channel.delete seulement pour ce canal.

app_preview permet de conserver app.read, afin que la clé puisse lister les métadonnées du canal dans l'application sélectionnée. La liaison automatique de l'enfant est un gestion limites : elle ne concède pas les mutations de cycle de vie pour les canaux que la clé n'a pas créés.

Egalement, Capgo enregistre laquelle clé App Preview a téléchargé un bundle. La clé peut définir uniquement son propre bundle sur chaque canal de prévisualisation qu'elle crée et peut nettoyer ce couple ensemble. Elle ne reçoit pas de liaison de canal pour un canal par défaut ou principal existant, un canal créé par une autre clé de prévisualisation ou un bundle d'une autre clé.

Pour un job CI typique, utilisez un nom de canal unique par demande de tirage :

Fenêtre de terminal
APP_ID="com.example.app"
PREVIEW_CHANNEL="pr-123"
BUNDLE_VERSION="1.2.3-pr.123"
npx @capgo/cli@latest bundle upload "$APP_ID" \
--apikey "$CAPGO_API_KEY" \
--path ./dist \
--channel "$PREVIEW_CHANNEL" \
--bundle "$BUNDLE_VERSION"
npx @capgo/cli@latest channel delete "$PREVIEW_CHANNEL" "$APP_ID" \
--apikey "$CAPGO_API_KEY" \
--delete-bundle \
--success-if-not-found

Pour un nouveau canal, bundle upload --channel crée le canal, télécharge le bundle et le promeut en un flux. La dernière commande utilise une route de nettoyage atomique étroite : elle réussit uniquement lorsque la clé possède le canal de prévisualisation et son bundle lié, non partagé. Prévisualisation d'application n'a toujours pas une prise en charge générale bundle.delete, elle ne peut donc pas supprimer un bundle arbitraire.

Voir la Référence de Contrôle d'accès pour la limite complète.

Cliquez sur l'icône de clés icone de clés Gérer

  • sur n'importe quelle clé RBAC dans la liste. Cela ouvre la page détaillée de la clé où vous pouvez : Changer le nom de la clé.
  • Mettre à jour le rôle de l'organisation Activer ou désactiver.
  • Permettre la création d'organisations lorsque la clé a un rôle d'organisation Admin. Ajouter, supprimer ou modifier
  • les rôles par application Cliquez sur.

“Sauvegarder les modifications” __CAPGO_KEEP_0__ lorsque cela est terminé.

API clé page de modification avec les paramètres de rôle actuels

Pour régénérer la valeur secrète d'une clé API, cliquez sur l'icône de rafraîchissement Régénérer sur n'importe quelle clé de la liste.

Un dialogue de confirmation apparaîtra. Après avoir confirmé :

  • Pour les clés (hachées) sécurisées : Une nouvelle clé au format texte est générée et affichée une fois dans un modal. Copiez-la immédiatement.Pour les
  • clés sécurisées (hachées) clés simples: La valeur de la clé est régénérée côté serveur.

Toute intégration utilisant la valeur de la clé ancienne cessera de fonctionner immédiatement.

Confirmation de régénération de la clé API

Cliquez sur l’ icône de poubelle (Supprimer) sur n’importe quelle clé de la liste. Confirmez la suppression dans le dialogue.

La clé est révoquée immédiatement — toute requête l’utilisant échouera.

Dialogue de confirmation de suppression de la clé API

Si vous voyez des clés dans la section Clés héritières de clés (sans affectation de rôle), elles utilisent le système de permission basé sur le mode (read, upload, write, all). Elles fonctionnent toujours mais ne bénéficient pas des permissions RBAC détaillées.

Les clés héritières peuvent être régénérées et supprimées de la liste, mais ne peuvent pas être éditées pour ajouter des rôles RBAC. Nous recommandons de créer de nouvelles clés RBAC et de supprimer les clés héritières lorsque possible.

Si vous avez besoin de gérer les clés héritières directement, vous pouvez toujours les accéder à console.capgo.app/dashboard/apikeys. Cette page est obsolète et sera supprimée dans une mise à jour future.

Si vous utilisez API Clés pour planifier le tableau de bord et les opérations API, connectez-le à API Aperçu pour les détails d'implémentation dans API Aperçu, Introduction pour les détails d'implémentation dans Introduction, API Clés pour les détails d'implémentation dans API Clés, Appareils pour les détails d'implémentation dans Appareils, et Paquets pour les détails d'implémentation dans Paquets.