Безопасность и доступ
Секреты и ключи
Рекомендации по хранению, областям ключей и действиям при утечке.
Секрет (раздел «Секреты») и ключ API (afk_…) — разные сущности: первый подставляется в настройки нод, второй используется внешними системами для вызова API. Ниже — как с ними обращаться и что делать при компрометации.
Секреты (редактор)
- Храните в секретах то, что не должно светиться в тексте диаграммы, выгрузках и скриншотах.
- Раздел виден тем пользователям, кому в продукте открыт доступ к «Секретам».
- При утечке учётных данных внешнего сервиса: заведите новый секрет, переключите ноды, удалите старый.
Подробнее про интерфейс: Секреты в приложении.
Ключи API (afk_…)
- Полное значение показывают один раз при создании — сохраните его как пароль: не в общих чатах, не на скриншотах и не в открытых заметках.
- Не публикуйте ключ и не пересылайте без нужды. Для разных задач лучше отдельные ключи и минимальный набор привязанных флоу.
- Имеет смысл разделить ключи для основной работы и для черновиков и тестов, если так удобнее команде.
- Области ключа: если нужен только webhook, область
mcpне обязательна — включайте только то, что реально используется.
Подробнее: Ключи API.
Утечка ключа API
- Удалите скомпрометированный ключ в редакторе: Хранилище → Ключи API.
- Создайте новый и обновите все подключённые сервисы.
- Если есть доступ к журналам запросов — просмотрите аномальную активность по API.