Die offizielle Fastlane-Dokumentation beschreibt den API-Key-Flow unter App Store Connect API. Die Application Platform speichert dieselben Informationen als Organisation-Credentials und stellt sie den Projekten in CI bereit.
1. API-Schlüssel in App Store Connect anlegen
- Melde dich bei App Store Connect an.
- Öffne Users and Access → Integrations → App Store Connect API (Bezeichnung kann je nach Oberfläche leicht abweichen).
- Erzeuge einen neuen Key mit passender Rolle (häufig App Manager oder Developer, je nach benötigten Fastlane-Aktionen).
- Lade die private key-Datei (
.p8) einmalig herunter und bewahre sie sicher auf. Apple zeigt den Inhalt später nicht erneut an.
Aus dem gleichen Bildschirm notierst du:
- Key ID – Kennung des Schlüssels.
- Issuer ID – UUID der Organisation/App Store Connect API.
2. Developer Team ID und Team-Name
- Die Developer Team ID (10 Zeichen, z. B. im Developer Portal unter Membership) entspricht dem Team, für das du Builds signierst und App Store Connect ansteuerst.
- Der Team Name ist der lesbare Name deines Teams (wie in App Store Connect / Developer Portal angezeigt). Er wird in Fastlane-Kontexten für Anzeige und Logging genutzt.
3. Felder in der Application Platform
Beim Anlegen eines App Store-Credentials im Frontend trägst du genau diese fünf Werte ein (Namen wie in der Oberfläche):
| Feld in der Plattform | Herkunft |
|---|---|
| App Store Key ID | Key ID aus App Store Connect |
| App Store Issuer ID | Issuer ID aus App Store Connect |
| App Store Key Value | Vollständiger Inhalt der .p8-Datei (inkl. -----BEGIN PRIVATE KEY-----) |
| Developer Team ID | Team ID aus dem Apple Developer Portal |
| Team Name | Anzeigename des Teams |
Das entspricht den Parametern, die Fastlane mit app_store_connect_api_key bzw. Umgebungsvariablen wie APP_STORE_CONNECT_KEY_ID und APP_STORE_CONNECT_KEY_ISSUER_ID erwartet; der private Key wird in CI aus dem hinterlegten Key-Material als Datei bereitgestellt, analog zur Fastlane-Dokumentation mit key_filepath oder Key-Inhalt.
4. Sicherheit
- Teile
.p8-Inhalte und Issuer/Key-ID nicht öffentlich; nutze nur Organisation-Credentials mit Zugriff für Vertrauenspersonen. - Rotiere Keys, wenn ein Verdacht auf Kompromittierung besteht, und aktualisiere den Eintrag in der Plattform.