隐藏计划作业中使用的 Gitlab 访问令牌

Question

在我的 Gitlab 存储库中，我必须运行一个触发管道的预定作业。此管道使用 Gitlab API 删除旧的作业日志。

但此 API 调用需要 Gitlab AccessToken 才能执行操作。最初我想使用 CI_JOB_TOKEN 变量，它是自动生成的令牌，但它无法访问 Gitlab API。

或者，我可以将项目 AccessToken 作为变量存储在我的计划作业中。但项目中具有维护者或所有者角色的其他人也可以看到它。

有没有其他方法可以让我存储我的代币而不将其透露给其他人？或者某种机制可以让我在不传递我的项目 AccessTokens 的情况下运行它？

Answer 1

最好的选择是将密钥存储在保管库/云服务中，例如 HashiCorp Vault、AWS Secrets Manager、Azure Vault 等。GitLab 具有 CI_JOB_JWT_V2 令牌，可用于对云服务进行身份验证。使用这种方法，您根本不需要在 GitLab 中存储任何机密。

您还可以将 Vault 集成视为另一个选项。

唯一的其他选择可能是使用在系统上拥有秘密的运行程序并将该运行程序锁定到您的项目。