diff --git a/infra/cloudflare.md b/infra/cloudflare.md
index addec20..d6241f8 100644
--- a/infra/cloudflare.md
+++ b/infra/cloudflare.md
@@ -11,6 +11,22 @@ Syn 이 엣지 관점에서 소유. 일반 DNS 관리 협업은 Heimdall.
 - ID: `d8e5997eb4040f8b489f09095c0f623c` (kappa@inouter.com)
 - API 토큰: Vault `secret/cloud/cloudflare` (`api_token`, `email`)
 
+### API 토큰 권한 범위 (2026-04-13 실측)
+
+| 엔드포인트 | 권한 |
+|-----------|------|
+| Zone Read | ✅ |
+| DNS Read/Write | ✅ |
+| Turnstile Read | ✅ (Write는 ❌ 403) |
+| Workers Read | ✅ |
+| KV Read | ✅ |
+| Rulesets (WAF/Rate Limit 규칙) | ❌ 403 |
+| Firewall Rules | ❌ 403 |
+| Rate Limits (legacy) | ❌ 403 |
+| Zone Settings | ❌ 403 |
+
+⚠️ **Rate Limit, WAF 규칙, Firewall 설정은 API로 조회/변경 불가 — 대시보드에서만 관리 가능**. 토큰 스코프 확장이 필요하면 CF 대시보드 > My Profile > API Tokens에서 편집.
+
 ## Zone
 
 | Zone | Zone ID | Status | Plan | NS | DNS rec | 비고 |