Service accounts
Prélude
Un Service account est un type spécial de clé API destiné à représenter un utilisateur non humain qui doit s'authentifier et être autorisé pour des scénarios tels que le scan de secrets dans les pipelines CI ou le traitement par lot d'incidents ouverts.
Veuillez noter que les service accounts sont uniquement disponibles pour les workspaces sous notre plan Business.
Créer un service account
Seuls les Managers du workspace sont autorisés à gérer les service accounts.
- Rendez-vous sur la page Service accounts dans la section API de votre workspace. Cliquez sur
Create service account. - Nommez votre service account en fonction de son cas d'usage (par exemple
<Service Name>-<Environment>) - Définissez une date d'expiration pour votre token (dans 1 semaine, 1 mois, 3 mois, 6 mois, 1 an, ou jamais). Si une date d'expiration est définie, tous les Managers du workspace recevront une notification par e-mail 5 jours avant l'expiration.
- Choisissez un ou plusieurs scopes pour votre service account.
- Cliquez sur
Create service account
Assurez-vous de copier le service account, il ne vous sera plus visible à l'avenir.

Les service accounts de votre workspace sont visibles et peuvent être gérés ici par les Managers de workspaces sous notre plan Business.

Révoquer un service account
Un token de service account peut être révoqué depuis la page Service accounts par un Manager du workspace, ou via l'API publique par un autre token possédant le scope api_tokens:write.
Un token de service account ne peut pas se révoquer lui-même. Puisqu'un token de service account peut être partagé entre plusieurs déploiements, lui permettre de s'auto-révoquer casserait chaque déploiement qui l'utilise. Toute tentative dans ce sens (par exemple via ggshield auth logout) est refusée avec une erreur 403.