> ## Documentation Index
> Fetch the complete documentation index at: https://docs.axottle.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Секреты и токены

> Защищённое хранилище секретов, мастер-ключ шифрования и типы токенов Axottle.

Axottle хранит чувствительные данные — учётные данные провайдеров, токены интеграций, ключи доступа — в защищённом хранилище секретов с шифрованием на диске. В этом разделе описано, как устроено хранилище, зачем нужен мастер-ключ и какие бывают токены.

<Info>
  Для кого: администратор и SRE.
  Требуемые права: администратор панели; доступ к серверу для настройки мастер-ключа.
</Info>

## Хранилище секретов

Учётные данные сторонних сервисов (доступы к CDN-провайдерам, токены DNS, ключи доступа к хранилищу резервных копий, токены интеграций мониторинга) шифруются перед записью в базу данных и никогда не попадают в логи в открытом виде.

Шифрование выполняется современным алгоритмом аутентифицированного шифрования. Для документации и эксплуатации важно одно: **всё хранилище защищено единым мастер-ключом**, который вы задаёте на сервере.

## Мастер-ключ `AXOTTLE_SECRET_KEY`

Мастер-ключ задаётся переменной окружения `AXOTTLE_SECRET_KEY` на сервере панели.

<Warning>
  В production **обязательно** задайте сильный случайный ключ. Если ключ не задан, используется небезопасное значение по умолчанию для разработки — оно недопустимо в боевой среде.
</Warning>

Сгенерировать надёжный ключ:

```bash theme={null}
openssl rand -hex 32
```

Задайте его в файле окружения панели (`/etc/axottle/axottle.env`) и перезапустите сервис. Порядок безопасного изменения переменных — [Конфигурация](/ru/reference/configuration).

<Warning>
  **Смена мастер-ключа делает ранее сохранённые секреты нечитаемыми.** Встроенного инструмента ротации мастер-ключа пока нет. Если ключ нужно сменить, после смены потребуется заново ввести все учётные данные провайдеров и интеграций. Планируйте это как обслуживаемую операцию.
</Warning>

Мастер-ключ используется не только хранилищем секретов, но и для шифрования резервных копий (когда оно включено). Часть функций (интеграции мониторинга, провайдеры) не запустится без заданного ключа и прямо сообщит об этом.

## Служебные токены

Некоторые операции используют отдельные служебные токены. Сохраните показанный токен сразу после создания: повторно посмотреть его полностью нельзя.

| Токен             | Префикс | Назначение                            | Управление                                                     |
| ----------------- | ------- | ------------------------------------- | -------------------------------------------------------------- |
| Enrollment-токен  | `axe_`  | Одноразовая регистрация ноды          | Создаётся на странице ноды, срок 30 минут, отзыв вручную       |
| Токен агента      | `axa_`  | Постоянные учётные данные агента ноды | Выдаётся при регистрации, ротируется при повторной регистрации |
| Integration-токен | `axt_`  | Для будущих интеграций                | Создание/список/отзыв через панель                             |

<Tip>
  При создании токена панель показывает предупреждение «Сохраните этот токен — он больше не будет показан». Скопируйте его сразу в защищённое место. В списках отображается только короткий префикс, по которому токен можно узнать, но не восстановить.
</Tip>

Подробнее о токенах регистрации нод — [Регистрация ноды](/ru/nodes/enrollment).

## Обращение с секретами

* Считайте любой выданный токен полноценным секретом: храните в менеджере секретов, не коммитьте в репозитории, не пересылайте в открытых каналах.
* Отзывайте токены, которые больше не нужны или могли быть скомпрометированы.
* Для доступов провайдеров используйте выделенные ключи с минимально необходимыми правами — см. [Провайдеры](/ru/operations/providers).

## Проверка

<Check>
  `AXOTTLE_SECRET_KEY` задан сильным значением (не значение по умолчанию), сервис стартует без ошибок о недоступности ключа, а тест подключения провайдера/интеграции проходит успешно.
</Check>

## Откат

* Скомпрометированный токен: отзовите его (для integration-токена — удалением, для enrollment/agent — отзывом или повторной регистрацией ноды) и при необходимости выпустите новый.
* Учётные данные провайдера: удалите их в соответствующем разделе — запись в хранилище секретов при этом удаляется.

<Note>Проверено для версии Axottle текущей ветки. Дата проверки: 2026-07-11.</Note>
