이 문서에서는 액세스할 GitHub수 있는 모든 프로그래밍 자격 증명 형식에 대한 통합 참조를 제공합니다. 이 참조를 사용하여 특히 보안 인시던트 중에 활동을 감사하고 자격 증명 해지를 관리합니다.
자격 증명 형식 개요
다음 표에서는 프로그래밍 방식으로 액세스할 GitHub수 있는 모든 자격 증명 형식을 나열합니다.
| 자격 증명 형식 | 자격 증명 접두사 | 수명 | 해지 | 연결됨 |
|---|---|---|---|---|
| Personal access token (classic) | ghp_ | 수명이 긴 | 설명서 | 사용자 계정 |
| Fine-grained personal access token | github_pat_ | 구성 가능(최대 1년 또는 만료 없음) | 설명서 | 사용자 계정 |
[
OAuth app 액세스 토큰](#oauth-app-access-tokens) | `gho_` | 수명이 긴 | 설명서 | 사용자 계정 |
|
GitHub App 사용자 액세스 토큰 | ghu_ | 단기(8시간) | 자동 만료 또는 수동 | 사용자 계정 |
|
GitHub App 설치 액세스 토큰 | ghs_ | 단시간 지속(1시간) | 자동 만료 | 앱 설치 |
|
GitHub App 새로 고침 토큰 | ghr_ | 장기간 사용 가능 (6개월) | 설명서 | 사용자 계정 |
|
사용자 SSH 키 | 해당 없음 | 수명이 긴 | 설명서 | 사용자 계정 |
|
키 배포 | 해당 없음 | 수명이 긴 | 설명서 | 리포지토리 |
|
GITHUB_TOKEN
(GitHub Actions) | 해당 없음 | 단기(작업 기간) | 자동 만료 | 워크플로 실행 |
자격 증명 해지
다음 섹션에서는 역할에 따라 각 자격 증명 유형에 대한 해지 옵션을 설명합니다. 토큰 만료 및 해지도 참조하세요.
참고
엔터프라이즈 소유자는 주요 인시던트에서 대량 작업에 대한 옵션을 사용할 수 있습니다. 보안 인시던트에 대한 대량 작업을 참조하세요.
Personal access token (classic)
-
토큰이 사용자에게 속한 경우 개인 계정 설정을 통해 삭제할 수 있습니다. 개인용 액세스 토큰 관리을(를) 참조하세요.
-
토큰이 다른 사람이 소유하고 실제 토큰 값이 알려진 경우 누구나 REST API를 사용하여 토큰을 해지하도록 요청을 제출할 수 있습니다. API에는 인증이 필요하지 않습니다. 토큰 값을 가진 모든 사용자가 해지를 위해 제출할 수 있습니다. REST API 설명서의 취소 을 참조하세요.
-
**조직 소유자** 와 **엔터프라이즈 소유자는** 개별 토큰을 직접 보거나 제어할 수 없습니다. 그러나 다음을 수행할 수 있습니다.- 실제 토큰 값이 알려진 경우 REST API를 사용하여 취소합니다. 취소을 참조하세요.
- 조직 또는 엔터프라이즈에 대한 personal access tokens 액세스를 완전히 제한합니다. 조직의 개인용 액세스 토큰 정책 설정 및 Enterprise에서 개인용 액세스 토큰에 대한 정책 적용을(를) 참조하세요.
-
SSO가 적용된 조직 소유자 및 엔터프라이즈 소유자는GitHub Enterprise Cloud 특정personal access token (classic)에 대한 SSO 권한 부여를 취소할 수 있습니다. 자세한 내용은 SSO 권한 부여 취소 를 참조하세요.
-
공용 리포지토리 또는 요지로 푸시되거나 1년 동안 사용하지 않는 경우 자동으로 취소됩니다. 토큰 만료 및 해지을(를) 참조하세요.
Fine-grained personal access token
-
토큰이 사용자에게 속한 경우 개인 계정 설정을 통해 삭제할 수 있습니다. 개인용 액세스 토큰 관리을(를) 참조하세요.
-
토큰이 다른 사람이 소유하고 실제 토큰 값이 알려진 경우 누구나 REST API를 사용하여 토큰을 해지하도록 요청을 제출할 수 있습니다. API에는 인증이 필요하지 않습니다. 토큰 값을 가진 모든 사용자가 해지를 위해 제출할 수 있습니다. REST API 설명서의 취소 을 참조하세요.
-
**조직 소유자**: 개별 토큰을 보고 해지할 수 있습니다. 하지만 조직 소유자가 fine-grained personal access token를 해지하더라도, 이 토큰으로 생성된 모든 SSH 키는 계속 작동하며, 토큰은 여전히 조직 내에서 공용 리소스를 읽을 수 있습니다. 해지 시 리소스 소유자가 조직에서 사용자로 변경되고 사용자가 다시 할당할 수 있습니다. [AUTOTITLE](/organizations/managing-programmatic-access-to-your-organization/reviewing-and-revoking-personal-access-tokens-in-your-organization)을(를) 참조하세요. -
**조직 소유자** 및 **엔터프라이즈 소유자는** 다음을 수행할 수 있습니다.- REST API를 사용하여 토큰을 해지합니다. 취소을 참조하세요.
- 조직 또는 엔터프라이즈에 대한 personal access tokens 액세스를 완전히 제한합니다. 조직의 개인용 액세스 토큰 정책 설정 및 Enterprise에서 개인용 액세스 토큰에 대한 정책 적용을(를) 참조하세요.
-
공용 리포지토리 또는 요지로 푸시되거나 1년 동안 사용하지 않는 경우 자동으로 취소됩니다. 토큰 만료 및 해지을(를) 참조하세요.
OAuth app 액세스 토큰
* 사용자는 자신의 개인 계정 설정에서 권한 부여를 OAuth app 취소할 수 있으며 앱과 연결된 모든 토큰을 해지합니다. 권한 있는 OAuth 앱 검토을(를) 참조하세요.
- 토큰이 다른 사람이 소유하고 실제 토큰 값이 알려진 경우 누구나 REST API를 사용하여 토큰을 해지하도록 요청을 제출할 수 있습니다. API에는 인증이 필요하지 않습니다. 토큰 값을 가진 모든 사용자가 해지를 위해 제출할 수 있습니다. REST API 설명서의 취소 을 참조하세요.
-
**조직 소유자는** 이전에 승인된 OAuth app조직에 대한 액세스를 거부할 수 있습니다. [AUTOTITLE](/enterprise-cloud@latest/organizations/managing-oauth-access-to-your-organizations-data/denying-access-to-a-previously-approved-oauth-app-for-your-organization)을(를) 참조하세요. - 엔터프라이즈 및 조직 소유자는 개별 OAuth app 토큰에 대한 SSO 권한 부여를 직접 해지할 수 없습니다.
- 공용 리포지토리 또는 요지로 푸시되거나 1년 동안 사용하지 않는 경우 자동으로 취소됩니다. 토큰 만료 및 해지을(를) 참조하세요.
GitHub App 사용자 액세스 토큰
* 사용자는 개인 계정 설정에서 권한 부여를 GitHub App 취소할 수 있습니다. 이렇게 하면 특정 조직뿐만 아니라 모든 조직에 대한 권한 부여가 취소됩니다. GitHub 앱의 권한 부여 검토 및 해지을(를) 참조하세요.
- 토큰이 다른 사람이 소유하고 실제 토큰 값이 알려진 경우 누구나 REST API를 사용하여 토큰을 해지하도록 요청을 제출할 수 있습니다. API에는 인증이 필요하지 않습니다. 토큰 값을 가진 모든 사용자가 해지를 위해 제출할 수 있습니다. REST API 설명서의 취소 을 참조하세요.
-
**조직 소유자는** 사용자 권한 부여를 직접 해지할 수 없지만 조직 리소스에 대한 액세스를 방지하기 위해 앱을 일시 중단하거나 제거할 수 있습니다. [AUTOTITLE](/apps/using-github-apps/reviewing-and-modifying-installed-github-apps)을(를) 참조하세요. - 엔터프라이즈 및 조직 소유자는 개별 GitHub App 사용자 액세스 토큰에 대한 SSO 권한 부여를 직접 해지할 수 없습니다.
- 기본적으로 8시간 후에 자동으로 만료됩니다. 토큰 만료 및 해지을(를) 참조하세요.
GitHub App 리프레시 토큰
* 사용자는 권한 부여를 취소할 GitHub App 수 있으며 연결된 새로 고침 토큰도 무효화됩니다. GitHub 앱의 권한 부여 검토 및 해지을(를) 참조하세요.
- 토큰이 다른 사람이 소유하고 실제 토큰 값이 알려진 경우 누구나 REST API를 사용하여 토큰을 해지하도록 요청을 제출할 수 있습니다. API에는 인증이 필요하지 않습니다. 토큰 값을 가진 모든 사용자가 해지를 위해 제출할 수 있습니다. REST API 설명서의 취소 을 참조하세요.
- 6개월 후에 자동으로 만료됩니다.
GitHub App 설치 액세스 토큰
*
앱 소유자는 .를 통해 DELETE /installation/token해지할 수 있습니다.
설치를 위한 GitHub App REST API 엔드포인트을(를) 참조하세요.
*
조직 소유자 및 엔터프라이즈 소유자: 연결된 모든 설치 토큰을 비활성화하는 조직에서 앱을 제거할 수 있습니다.
설치된 GitHub 앱 검토 및 수정을(를) 참조하세요.
- 1시간 후에 자동으로 만료됩니다.
사용자 SSH 키
-
**사용자는****설정 > SSH 및 GPG 키를** 통해 자격 증명을 삭제할 수 있습니다. [AUTOTITLE](/authentication/keeping-your-account-and-data-secure/reviewing-your-ssh-keys)을(를) 참조하세요. - SSO가 적용된 조직 소유자 및 엔터프라이즈 소유자는 특정 SSH 키에 GitHub Enterprise Cloud 대한 SSO 권한 부여를 취소할 수 있습니다. 해지되면 동일한 키를 다시 승인할 수 없습니다. 사용자는 새 SSH 키를 만들어야 합니다. 자세한 내용은 SSO 권한 부여 취소 를 참조하세요.
- 1년 동안 사용하지 않으면 자동으로 삭제됩니다. 삭제되었거나 누락된 SSH 키을(를) 참조하세요.
SSH 키에 대한 자세한 내용은 GitHub 계정에 새 SSH 키 추가을 참조하세요.
배포 키
-
**리포지토리 관리자는****리포지토리 설정 > 보안 > 배포 키를 통해 키를 삭제할 수 있습니다**. 또한 배포 키 REST API를 통해 사용할 수 있습니다. [AUTOTITLE](/authentication/keeping-your-account-and-data-secure/reviewing-your-deploy-keys)을 참조하세요. -
**조직 소유자는** 조직 전체에서 배포 키를 완전히 사용하지 않도록 설정하여 기존 배포 키를 모두 사용하지 않도록 설정할 수 있습니다. [AUTOTITLE](/organizations/managing-organization-settings/restricting-deploy-keys-in-your-organization)을 참조하세요. -
**엔터프라이즈 소유자는** 모든 리포지토리에서 배포 키를 사용하지 않도록 정책을 적용할 수 있습니다. [AUTOTITLE](/admin/enforcing-policies/enforcing-policies-for-your-enterprise/enforcing-repository-management-policies-in-your-enterprise)을(를) 참조하세요.
키 배포에 대한 자세한 내용은 배포 키 관리을 참조하세요.
`GITHUB_TOKEN`(GitHub Actions)
*
자동으로 만료됨: GITHUB_TOKEN 각 워크플로 작업이 시작될 때 만들어지고 작업이 완료되면 만료됩니다. 수동 해지 메커니즘은 없습니다. 인시던트 중에는 리포지토리에서 GitHub Actions를 사용 중지하여 새 토큰 발급을 방지할 수 있습니다.
SSO 권한 부여
엔터프라이즈 수준에서 SSO(Single Sign-On)가 필요하거나, 조직 수준에서 적용되거나, 조직에 대해 사용하도록 설정되고 구성원이 ID를 연결한 경우 조직 리소스에 액세스하려면 먼저 특정 자격 증명 유형에 대한 권한을 조직에 부여해야 합니다. 다음 표에서는 조직에 대해 권한을 부여할 수 있는 자격 증명 형식을 나타냅니다.
| 토큰 형식 | SSO 권한 부여 지원 | 관리자는 SSO 권한 부여를 취소할 수 있습니다. |
|---|---|---|
| Personal access token (classic) | ||
| Fine-grained personal access token |
OAuth app 액세스 토큰 |
<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Yes" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg>
[^1] | <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-x" aria-label="No" role="img"><path d="M3.72 3.72a.75.75 0 0 1 1.06 0L8 6.94l3.22-3.22a.749.749 0 0 1 1.275.326.749.749 0 0 1-.215.734L9.06 8l3.22 3.22a.749.749 0 0 1-.326 1.275.749.749 0 0 1-.734-.215L8 9.06l-3.22 3.22a.751.751 0 0 1-1.042-.018.751.751 0 0 1-.018-1.042L6.94 8 3.72 4.78a.75.75 0 0 1 0-1.06Z"></path></svg> |
|
GitHub App 사용자 액세스 토큰 |
[^1] | |
|
GitHub App 설치 액세스 토큰 |
(필요하지 않음) | 해당 없음 |
|
GitHub App 새로 고침 토큰 | | 해당 없음 |
| 사용자 SSH 키 | | |
| 배포 키 |
(리포지토리 범위) | 해당 없음 |
|
GITHUB_TOKEN(GitHub Actions) |
(저장소 범위) | 해당 없음 |
[^1]: SSO authorization is granted automatically when the user authorizes the app during an active SAML or OIDC session. These authorizations are not visible to users or admins in the GitHub UI, and are not returned by the [List SAML SSO authorizations for an organization](/rest/orgs/orgs#list-saml-sso-authorizations-for-an-organization) REST API endpoint.
SSO에 대한 자격 증명에 권한을 부여하는 방법에 대한 자세한 내용은 AUTOTITLE, AUTOTITLE 및 개인용 액세스 토큰 관리을 참조 하세요.
SSO 권한 부여 취소
SSO가 적용된 상태에서 GitHub Enterprise Cloud 자격 증명이 SSO 권한 부여를 지원하는 경우 다음과 같은 두 가지 독립적인 포함 옵션이 있습니다.
-
**자격 증명 자체를 삭제하거나 해지**합니다. 자격 증명과 연결된 모든 액세스를 영구적으로 제거합니다. 이 작업을 수행할 수 있는 사람은 위의 개별 자격 증명 형식 섹션을 참조하세요. -
**자격 증명의 SSO 권한 부여 취소**: 자격 증명을 삭제하지 않고 특정 조직의 리소스에 액세스하지 못하도록 차단합니다. 해지되면 사용자는 같은 자격 증명을 다시 권한을 부여할 수 없습니다. 새로운 자격 증명을 만들어야 합니다.
엔터프라이즈 관리자 및 조직 소유자는 위의 표에 표시된 자격 증명 유형에 대한 SSO 권한 부여를 취소할 수 있습니다.
-
**조직 소유자는** UI를 통해 조직 수준 SSO를 사용하여 조직에 대한 SSO 권한 부여를 GitHub 관리할 수 있습니다. [AUTOTITLE](/enterprise-cloud@latest/organizations/granting-access-to-your-organization-with-saml-single-sign-on/viewing-and-managing-a-members-saml-access-to-your-organization)을(를) 참조하세요. -
**엔터프라이즈 소유자는** UI를 통해 엔터프라이즈 수준 SSO(포함 Enterprise Managed Users)를 사용하여 엔터프라이즈에 대한 SSO 권한 부여를 GitHub 관리할 수 있습니다. [AUTOTITLE](/enterprise-cloud@latest/admin/managing-accounts-and-repositories/managing-users-in-your-enterprise/viewing-and-managing-a-users-saml-access-to-your-enterprise#viewing-and-revoking-authorized-credentials)을(를) 참조하세요.
REST API를 통해 SSO 권한 부여를 관리할 수도 있습니다. 조직에 대한 REST API 엔드포인트을(를) 참조하세요.
보안 인시던트 중에 엔터프라이즈 소유자는 SSO 권한 부여를 대량으로 해지할 수 있습니다. 보안 인시던트에 대한 대량 작업을 참조하세요.
보안 인시던트에 대한 대량 작업
주요 보안 인시던트 중에는 엔터프라이즈 소유자가 GitHub Enterprise Cloud 신속하게 대응하기 위해 수행할 수 있는 몇 가지 엔터프라이즈 수준 대량 작업이 있습니다. 이러한 작업은 사용자 SSH 키, OAuth app 사용자 액세스 토큰, GitHub App, personal access tokens (classic), 및 fine-grained personal access tokens에 영향을 미칩니다. 설치 액세스 토큰, 배포 키 또는 GITHUB_TOKEN에는 영향을 주지 않습니다.
경고
이는 주요 보안 인시던트에 대해 고려해야 할 중대한 조치입니다. 자동화를 중단시킬 가능성이 높으며 원래 상태를 복원하는 데 몇 달이 걸릴 수 있습니다.
-
**SSO 잠금**: 엔터프라이즈 소유자를 제외한 모든 사용자에 대해 SSO를 일시적으로 차단하여 SSO로 보호되는 리소스에 대한 액세스를 차단합니다. SSO를 사용하는 기업이나 Enterprise Managed Users를 사용할 수 있습니다. [AUTOTITLE](/enterprise-cloud@latest/admin/managing-iam/respond-to-incidents/lock-down-sso)을(를) 참조하세요. -
**모든 SSO 권한 부여 취소**: 엔터프라이즈의 모든 조직에서 사용자 자격 증명에 대한 SSO 권한 부여를 제거합니다. 자격 증명은 삭제되지 않지만 SSO로 보호되는 조직 리소스에 대한 액세스 권한을 잃게 됩니다. 해지되면 자격 증명에 다시 권한을 부여할 수 없습니다. 사용자는 새 자격 증명을 만들어야 합니다. SSO를 사용하는 기업 및 Enterprise Managed Users에서 사용할 수 있습니다. [AUTOTITLE](/enterprise-cloud@latest/admin/managing-iam/respond-to-incidents/revoke-authorizations-or-tokens)을(를) 참조하세요. -
**모든 사용자 토큰 및 키 삭제**: 사용자 자격 증명을 완전히 삭제하고 모든 액세스를 제거합니다. Enterprise Managed Users **만** 사용할 수 있습니다. [AUTOTITLE](/enterprise-cloud@latest/admin/managing-iam/respond-to-incidents/revoke-authorizations-or-tokens)을(를) 참조하세요.
참고
SSO를 사용하는 개인 계정(비 EMU)이 있는 기업의 경우 "모든 토큰 및 키 삭제" 옵션을 사용할 수 없습니다. "SSO 권한 부여 해지" 작업은 SSO로 보호되는 조직 리소스에 대한 액세스를 차단하지만 SSO를 적용하지 않는 조직의 엔터프라이즈 수준 엔드포인트 또는 리소스에 대한 자격 증명 액세스를 차단하지는 않습니다. SSO(단일 로그인 기능)가 없는 엔터프라이즈의 경우 대량 작업을 사용할 수 없습니다.