API-Schlüssel ermöglichen den Zugang zu Anthropic Services, können aber erhebliche Sicherheitsrisiken darstellen, wenn sie nicht ordnungsgemäß behandelt werden. Ihr API-Schlüssel ist ein digitaler Schlüssel zu Ihrem Konto. Ähnlich wie eine Kreditkartennummer entstehen Kosten zu Ihren Lasten, wenn jemand Ihren API-Schlüssel erlangt und verwendet. Dieser Artikel beschreibt bewährte Praktiken für die Verwaltung von API-Schlüsseln, um sicherzustellen, dass sie sicher bleiben und unbefugten Zugriff sowie Kosten für Ihr API/Console-Konto zu verhindern.
Häufige Risiken und Schwachstellen
Eine der häufigsten Ursachen für API-Schlüssel-Lecks ist die versehentliche Preisgabe in öffentlichen Code-Repositories oder Drittanbieter-Tools. Entwickler übertragen oft unbeabsichtigt Klartext-API-Schlüssel in öffentliche GitHub-Repositories oder geben sie in Drittanbieter-Tools ein, was zu unbefugtem Zugriff und potenziellem Missbrauch der zugehörigen Konten führen kann.
Bewährte Praktiken für API-Schlüssel-Sicherheit
1. Teilen Sie Ihren API-Schlüssel niemals
Halten Sie ihn vertraulich: Genau wie Sie Ihr persönliches Passwort nicht teilen würden, teilen Sie Ihren API-Schlüssel nicht. Wenn jemand Zugang zur API benötigt, sollte er seinen eigenen Schlüssel erhalten.
Teilen Sie Ihren Schlüssel nicht in öffentlichen Foren: Fügen Sie Ihren API-Schlüssel nicht in öffentliche Diskussionen, E-Mails oder Support-Tickets ein, auch nicht zwischen Ihnen und Anthropic.
Seien Sie vorsichtig mit Drittanbieter-Tools: Bedenken Sie, dass Sie dem Entwickler dieses Tools Zugang zu Ihrem Anthropic-Konto gewähren, wenn Sie Ihren API-Schlüssel in Drittanbieter-Tools oder -Plattformen (wie eine webbasierte IDE, Cloud-Anbieter oder CI/CD-Plattform) hochladen. Wenn Sie deren Ruf nicht vertrauen, vertrauen Sie ihnen nicht mit Ihrem API-Schlüssel.
Wenn Sie einen Drittanbieter verwenden, fügen Sie Ihren API-Schlüssel immer als verschlüsseltes Geheimnis hinzu. Fügen Sie ihn niemals direkt in Ihren Code oder Konfigurationsdateien ein.
2. Überwachen Sie Nutzung und Protokolle genau
Wir empfehlen, regelmäßig Protokolle und Nutzungsmuster für Ihre API-Schlüssel in der Console zu überprüfen.
Für Custom Rate Limit API-Organisationen: Implementieren Sie Nutzungs- und Ausgabenlimits in Ihren Kontoeinstellungen.
Diese Limits fungieren als Schutzmaßnahme gegen unerwartete Nutzung aufgrund von durchgesickerten Schlüsseln oder fehlerhaften Skripten.
Für Standard Rate Limit API-Organisationen: Aktivieren und konfigurieren Sie Auto-Reload-Einstellungen in Ihrem Konto.
Diese Funktion ermöglicht es Ihnen, einen Schwellenwert festzulegen, bei dem Ihr Konto automatisch die hinterlegte Karte belastet, um Nutzungsguthaben aufzufüllen.
Überlegen Sie sorgfältig bei Auto-Reload-Limits. Während sie kontinuierlichen Service gewährleisten, fungieren sie auch als Schutzmaßnahme gegen unerwartete hohe Nutzung, die durch durchgesickerte Schlüssel oder Fehler in Ihrem Code entstehen könnte.
3. Sichere Handhabung von API-Schlüsseln mit Umgebungsvariablen und Geheimnissen
Eine bewährte Praxis für die sichere Handhabung von API-Schlüsseln ist die Verwendung von Umgebungsvariablen, um Umgebungsvariablen sicher einzufügen und zu teilen. Wenn Sie Ihre Anwendung in einer Cloud-Umgebung bereitstellen, können Sie deren Geheimnisverwaltungslösung verwenden, um den API-Schlüssel sicher über eine Umgebungsvariable an Ihre Anwendung zu übergeben, ohne versehentlich Ihren API-Schlüssel zu teilen.
Wenn Sie Geheimnisse lokal mit dotenv speichern, müssen Sie Ihre .env-Dateien zu Ihrer Quellcode-Kontrolle-Ignore-Datei (z.B. .gitignore für git) hinzufügen, um zu verhindern, dass sensible Informationen versehentlich öffentlich verteilt werden. In Cloud-Umgebungen bevorzugen Sie verschlüsselte Geheimnisspeichers anstelle von dotenv-Dateien.
Python-Beispiel:
1. Erstellen Sie eine .env-Datei in Ihrem Projektverzeichnis.
2. Fügen Sie Ihren API-Schlüssel zur .env-Datei hinzu:
ANTHROPIC_API_KEY=your-api-key-here
3. Installieren Sie das python-dotenv-Paket:
pip install python-dotenv
4. Laden Sie den API-Schlüssel in Ihr Python-Skript:
from dotenv import load_dotenvimport osload_dotenv()my_api_key = os.getenv("ANTHROPIC_API_KEY")5. Wenn Sie Ihre Anwendung in einer Cloud-Hosting-Umgebung bereitstellen, beziehen Sie sich auf die Dokumentation Ihres Cloud-Anbieters, wie Sie Ihren Anthropic API-Schlüssel hinzufügen und mit Ihrer Anwendung teilen (AWS, GCP, Azure, Vercel, Heroku). Einige Anbieter bieten mehrere Möglichkeiten, Umgebungsvariablen sicher in Ihre App einzufügen.
4. Rotieren Sie API-Schlüssel regelmäßig
Rotieren Sie Ihre API-Schlüssel regelmäßig nach einem konsistenten Zeitplan (zum Beispiel alle 90 Tage), indem Sie neue erstellen und alte deaktivieren. Diese