Saltar al contenido principal
Las API keys permiten que las automatizaciones llamen a la API pública de Acrity sin usar una sesión humana de la Consola. Se gestionan en Console > API Keys, lo que requiere un administrador del workspace (los administradores de plataforma también tienen acceso).

Autenticación

Envía la API key en el header X-Acrity-Key:
curl \
  -H "X-Acrity-Key: acr_live_..." \
  "https://acrity.io/api/v1/context"
No envíes API keys en query strings, logs, capturas de pantalla o tickets de soporte. Usa headers y un cofre de secretos.

Almacenamiento

La clave completa se muestra solo una vez, inmediatamente después de la creación o rotación. Acrity no almacena la API key en texto plano. Para validar llamadas futuras, Acrity almacena un hash HMAC-SHA-256 con pepper.

Alcances

Al crear una clave, selecciona solo los alcances necesarios.
AlcanceUso típico
Reviews.Readlistar reviews, decisiones y hallazgos
Reviews.Writesolicitar reviews mediante la API
Repositories.Readlistar y consultar repositorios conectados
Repositories.Writeconectar, actualizar o desconectar repositorios mediante la API
Credentials.Readconsultar metadatos de credenciales
Credentials.Writecrear o cambiar credenciales mediante la API
Webhooks.Readlistar webhooks configurados
Webhooks.Writecrear, cambiar o desactivar webhooks
Workspaces.Readconsultar el contexto y los datos del workspace
Workspaces.Writecambiar la configuración permitida del workspace
SecurityScans.Readlistar y consultar análisis de seguridad
SecurityScans.Writeiniciar análisis bajo demanda
Los alcances de escritura implican un mayor riesgo operacional. Prefiere una clave separada para cada automatización.

Expiración e IP allowlist

Al crear una API key, configura:
  • una expiración compatible con el uso de la automatización: la expiración se elige en el momento de la creación y no se puede cambiar después; para usar un período de validez diferente, crea una nueva clave;
  • una IP allowlist cuando la integración se ejecuta en infraestructura conocida;
  • un nombre descriptivo con propietario, sistema y ambiente;
  • los alcances mínimos requeridos.

Rotación

Rotar una API key genera un nuevo valor e invalida el secreto anterior. Actualiza el cofre de secretos y la automatización consumidora inmediatamente después de la rotación.
1

Rotar en la Consola

Ve a Console > API Keys, busca la clave en la lista y elige Rotate en las acciones de su fila.
2

Guardar el nuevo valor

Copia la clave que se muestra una sola vez en el cofre de secretos.
3

Actualizar la automatización

Actualiza el secreto usado por la integración y reinicia el servicio consumidor cuando sea necesario.
4

Validar

Haz una llamada simple a /api/v1/context para confirmar la autenticación, los alcances y el workspace.

Respuestas comunes

StatusSignificado probableAcción
401clave ausente, inválida, expirada o inactivaverifica el header y el estado de la clave en la Consola
403la clave es válida, pero carece del alcance requeridoagrega el alcance o crea una clave separada
429límite de uso alcanzadoreduce la concurrencia, aplica backoff y revisa el uso