Zum Hauptinhalt springen
Alle KollektionenClaude API
API-Schlüssel Best Practices: So halten Sie Ihre Schlüssel sicher und geschützt
API-Schlüssel Best Practices: So halten Sie Ihre Schlüssel sicher und geschützt
Gestern aktualisiert

API-Schlüssel ermöglichen den Zugang zu Anthropic-Diensten, können aber erhebliche Sicherheitsrisiken darstellen, wenn sie nicht ordnungsgemäß gehandhabt werden. Ihr API-Schlüssel ist ein digitaler Schlüssel zu Ihrem Konto. Ähnlich wie bei einer Kreditkartennummer können Kosten auf Ihr Konto anfallen, wenn jemand Ihren API-Schlüssel erhält und verwendet. Dieser Artikel beschreibt bewährte Praktiken für den Umgang mit API-Schlüsseln, um deren Sicherheit zu gewährleisten und unbefugten Zugriff sowie Kosten für Ihr API/Console-Konto zu verhindern.

Häufige Risiken und Schwachstellen

Eine der häufigsten Ursachen für API-Schlüssel-Lecks ist die versehentliche Offenlegung in öffentlichen Code-Repositories oder Tools von Drittanbietern. Entwickler fügen oft versehentlich API-Schlüssel im Klartext in öffentliche GitHub-Repositories ein oder geben sie in Tools von Drittanbietern ein, was zu unbefugtem Zugriff und möglichem Missbrauch der zugehörigen Konten führen kann.

Beste Praktiken für API-Schlüssel-Sicherheit

1. Teilen Sie Ihren API-Schlüssel niemals

  • Halten Sie ihn vertraulich: Genau wie Sie Ihr persönliches Passwort nicht teilen würden, teilen Sie auch nicht Ihren API-Schlüssel. Wenn jemand Zugang zur API benötigt, sollte er seinen eigenen Schlüssel erhalten.

  • Teilen Sie Ihren Schlüssel nicht in öffentlichen Foren: Geben Sie Ihren API-Schlüssel nicht in öffentlichen Diskussionen, E-Mails oder Support-Tickets weiter, auch nicht zwischen Ihnen und Anthropic.

  • Seien Sie vorsichtig mit Tools von Drittanbietern: Bedenken Sie, dass Sie dem Entwickler dieses Tools Zugang zu Ihrem Anthropic-Konto geben, wenn Sie Ihren API-Schlüssel in Tools oder Plattformen von Drittanbietern hochladen (wie eine webbasierte IDE, Cloud-Anbieter oder CI/CD-Plattform). Wenn Sie ihrem Ruf nicht vertrauen, vertrauen Sie ihnen auch nicht Ihren API-Schlüssel an.

    • Wenn Sie einen Drittanbieter verwenden, fügen Sie Ihren API-Schlüssel immer als verschlüsseltes Geheimnis hinzu. Nehmen Sie ihn niemals direkt in Ihren Code oder Ihre Konfigurationsdateien auf.

2. Überwachen Sie die Nutzung und Protokolle genau

Wir empfehlen, regelmäßig die Protokolle und Nutzungsmuster Ihrer API-Schlüssel in der Console zu überprüfen.

  • Für API-Organisationen mit benutzerdefinierten Ratenlimits: Implementieren Sie Nutzungs- und Ausgabenlimits in Ihren Kontoeinstellungen.

    • Diese Limits dienen als Schutz gegen unerwartete Nutzung aufgrund von durchgesickerten Schlüsseln oder fehlerhaften Skripten.

  • Für API-Organisationen mit Standard-Ratenlimits: Aktivieren und konfigurieren Sie die automatischen Aufladungseinstellungen in Ihrem Konto.

    • Diese Funktion ermöglicht es Ihnen, einen Schwellenwert festzulegen, ab dem Ihr Konto automatisch die hinterlegte Karte belastet, um Nutzungsguthaben aufzuladen.

      • Überlegen Sie sorgfältig die Grenzen für die automatische Aufladung. Während sie einen kontinuierlichen Service gewährleisten, dienen sie auch als Schutz gegen unerwartet hohe Nutzung, die aus durchgesickerten Schlüsseln oder Fehlern in Ihrem Code resultieren könnte.

3. Sicherer Umgang mit API-Schlüsseln durch Umgebungsvariablen und Geheimnisse

Eine bewährte Methode für den sicheren Umgang mit API-Schlüsseln ist die Verwendung von Umgebungsvariablen, um Umgebungsvariablen sicher einzufügen und zu teilen. Wenn Sie Ihre Anwendung in einer Cloud-Umgebung bereitstellen, können Sie deren Geheimnisverwaltungslösung verwenden, um den API-Schlüssel sicher über eine Umgebungsvariable an Ihre Anwendung zu übergeben, ohne versehentlich Ihren API-Schlüssel zu teilen.

Wenn Sie Geheimnisse lokal mit dotenv speichern, müssen Sie Ihre .env-Dateien zu Ihrer Quellcodeverwaltungs-Ignorier-Datei hinzufügen (z.B. .gitignore für git), um zu verhindern, dass versehentlich sensible Informationen öffentlich verteilt werden. In Cloud-Umgebungen sollten Sie verschlüsselte Geheimnisspeicherung anstelle von dotenv-Dateien bevorzugen.

Python-Beispiel:

1. Erstellen Sie eine .env-Datei in Ihrem Projektverzeichnis.

2. Fügen Sie Ihren API-Schlüssel zur .env-Datei hinzu:

ANTHROPIC_API_KEY=ihr-api-schlüssel-hier

3. Installieren Sie das python-dotenv-Paket:

pip install python-dotenv

4. Laden Sie den API-Schlüssel in Ihrem Python-Skript:

from dotenv import load_dotenvimport osload_dotenv()my_api_key = os.getenv("ANTHROPIC_API_KEY")

5. Wenn Sie Ihre Anwendung in einer Cloud-Hosting-Umgebung bereitstellen, lesen Sie in der Dokumentation Ihres Cloud-Anbieters nach, wie Sie Ihren Anthropic API-Schlüssel hinzufügen und mit Ihrer Anwendung teilen können (AWS, GCP, Azure, Vercel, Heroku). Einige Anbieter bieten mehrere Möglichkeiten, um Umgebungsvariablen sicher in Ihre App einzufü

Verwandte Artikel
Was sollte ich tun, wenn ich vermute, dass mein API-Schlüssel kompromittiert wurde?
Übergang von der privaten API-Beta zur allgemeinen Verfügbarkeit
Hat dies deine Frage beantwortet?