Console > API Keys para criar, editar metadados, ativar, desativar, rotacionar e remover chaves.
Quando usar
Use API Keys quando:- uma automação precisa consultar dados da Acrity;
- um sistema interno precisa acionar operações suportadas pela API pública;
- integrações precisam de autenticação estável por workspace;
- webhooks não são suficientes porque o sistema externo precisa buscar dados sob demanda.
Quem pode acessar
Gerenciar API Keys requer um admin de workspace. Criar uma API Key também requer um admin de workspace.Formato de autenticação
Sistemas externos devem enviar a chave conforme a documentação da API pública. A tela de criação mostra a chave completa apenas uma vez.Campos principais
| Campo | Para que serve |
|---|---|
| Nome | Identifica a chave e o sistema que a utiliza. |
| Expiração | Define até quando a chave pode ser usada. Definida apenas quando a chave é criada; não pode ser editada depois. |
| IP allowlist | Restringe uso a endereços ou faixas permitidas quando aplicável. |
| Escopos | Limitam quais áreas da API a chave pode acessar. |
| Ativa | Indica se a chave pode ser usada. |
| Últimos caracteres | Ajuda a identificar a chave sem expor o segredo. |
Criar uma API Key
Definir expiração
Escolha um período de validade. A expiração é definida apenas na criação e não pode ser alterada depois.
Expiração
Opções de expiração podem incluir:- sem expiração;
- 1 hora;
- 1 dia;
- 7 dias;
- 30 dias;
- 90 dias;
- 180 dias;
- 360 dias.
A expiração é definida apenas quando a chave é criada e não pode ser editada depois. Para usar uma expiração diferente, crie uma nova chave.
IP allowlist
IP allowlist limita o uso da chave a origens conhecidas. Use quando:- a integração roda em infraestrutura com IP fixo;
- a organização exige controle de origem;
- a chave tem escopos de escrita;
- a integração é crítica.
Escopos
| Escopo | Permite |
|---|---|
| Reviews | Ler ou operar recursos relacionados a reviews, conforme nível concedido. |
| Workspaces | Ler ou alterar dados do workspace, conforme nível concedido. |
| Credentials | Ler ou alterar metadados de credenciais, conforme nível concedido. |
| Webhooks | Ler ou alterar webhooks, conforme nível concedido. |
| Repositories | Ler ou alterar repositórios, conforme nível concedido. |
| SecurityScans | Ler ou operar recursos de varredura de segurança, conforme nível concedido. |
Rotacionar uma chave
Rotação gera um novo segredo para a mesma chave lógica. Fluxo recomendado:- Acesse
Console > API Keys. - Na lista de chaves, localize a chave e escolha
Rotatenas ações da linha. - Confirme a rotação na caixa de diálogo.
- Copie o novo valor exibido.
- Atualize o sistema externo.
- Valide a integração.
- Remova segredos antigos do cofre ou ambiente de execução.
Desativar ou excluir
Desative uma chave quando quiser interromper temporariamente o acesso sem perder histórico administrativo. Exclua quando:- a integração foi removida;
- o sistema não existe mais;
- a chave foi criada por engano;
- a política da organização exige remoção definitiva.
Boas práticas
- Crie uma chave por sistema e ambiente.
- Use nomes claros, como
billing-sync-prod. - Aplique o menor escopo possível.
- Configure expiração quando viável.
- Use IP allowlist para integrações críticas.
- Guarde em cofre seguro, nunca em código-fonte.
- Rotacione periodicamente.
- Desative chaves sem uso.
Problemas comuns
| Sintoma | O que verificar |
|---|---|
| Chave não autentica | Confirme valor copiado, expiração, status ativo e ambiente correto. |
| Acesso negado | Verifique escopos e função do workspace. |
| Funciona localmente, falha em produção | Confira IP allowlist e origem real da requisição. |
| Perdi a chave completa | Rotacione a chave e atualize a integração. |
| Integração parou após rotação | Atualize o segredo no sistema externo e redeploy quando necessário. |
Segurança
O segredo completo é mostrado apenas uma vez e não deve ser armazenado em texto puro fora de um cofre seguro. A proteção técnica de chaves e tokens é descrita emSegurança > Credenciais e tokens.