Аутентификация
StableBearer-токены, scopes, permissions и важные правила работы с API-ключами.
Обновлено: 5 марта 2026 г.
Публичный Control Plane API использует Bearer‑аутентификацию.
Заголовок
Authorization: Bearer <token>
API key нужен для:
- Console;
- CLI;
- REST‑автоматизации;
- проверок профиля и usage.
Scope и permissions
У ключа есть scope:
globalaccounttenant
И набор permissions, среди которых чаще всего важны:
can_create_tenantcan_create_dbcan_scalecan_delete
Практическое правило простое:
- scope определяет, что вы видите;
- permissions определяют, что вы можете делать.
Что важно не путать
- API key — это доступ к Control Plane;
pg_user/pg_password— это доступ к PostgreSQL через Gateway.
Эти секреты не взаимозаменяемы.
Console и login по email
Для Console токен дополнительно привязывается к email из профиля аккаунта. Поэтому возможна ситуация, когда токен формально валиден, но Console не может завершить login, если у аккаунта не заполнен email.
Рекомендации по безопасности
- используйте отдельные ключи для людей и CI;
- выдавайте минимально необходимые права;
- ротируйте токены при смене сотрудников или подозрении на компрометацию;
- не храните API key рядом с PostgreSQL‑DSN в открытых конфигурациях.