Passer au contenu principal
Toutes les collectionsClaude API
Meilleures pratiques pour les clés API : Garder vos clés en sécurité
Meilleures pratiques pour les clés API : Garder vos clés en sécurité
Mis à jour il y a plus d'un mois

Les clés API permettent l'accès aux services d'Anthropic, mais elles peuvent présenter des risques de sécurité importants si elles ne sont pas gérées correctement. Votre clé API est une clé numérique pour votre compte. Tout comme un numéro de carte de crédit, si quelqu'un obtient et utilise votre clé API, il engage des frais en votre nom. Cet article décrit les meilleures pratiques pour gérer les clés API afin de garantir leur sécurité et d'empêcher tout accès non autorisé et des frais sur votre compte API/Console.

Risques et vulnérabilités courants

L'une des causes les plus fréquentes de fuites de clés API est l'exposition accidentelle dans des dépôts de code publics ou des outils tiers. Les développeurs commettent souvent par inadvertance des clés API en texte clair dans des dépôts GitHub publics ou les saisissent dans des outils tiers, ce qui peut entraîner un accès non autorisé et un abus potentiel des comptes associés.

Meilleures pratiques pour la sécurité des clés API

1. Ne partagez jamais votre clé API

  • Gardez-la confidentielle : Tout comme vous ne partageriez pas votre mot de passe personnel, ne partagez pas votre clé API. Si quelqu'un a besoin d'accéder à l'API, il doit obtenir sa propre clé.

  • Ne partagez pas votre clé sur des forums publics : N'incluez pas votre clé API dans des discussions publiques, des e-mails ou des tickets de support, même entre vous et Anthropic.

  • Soyez prudent avec les outils tiers : Considérez que lorsque vous téléchargez votre clé API sur des outils ou des plateformes tiers (comme un IDE basé sur le web, un fournisseur de cloud ou une plateforme CI/CD), vous donnez au développeur de cet outil l'accès à votre compte Anthropic. Si vous ne faites pas confiance à leur réputation, ne leur faites pas confiance avec votre clé API.

    • Lorsque vous utilisez un fournisseur tiers, ajoutez toujours votre clé API en tant que secret chiffré. Ne l'incluez jamais directement dans votre code ou vos fichiers de configuration.

2. Surveillez de près l'utilisation et les journaux

Nous recommandons d'examiner régulièrement les journaux et les modèles d'utilisation de vos clés API dans la Console.

  • Pour les organisations API avec limite de taux personnalisée : Mettez en place des limites d'utilisation et de dépenses dans les paramètres de votre compte.

    • Ces limites agissent comme une protection contre une utilisation inattendue due à des clés divulguées ou des scripts erronés.

  • Pour les organisations API avec limite de taux standard : Activez et configurez les paramètres de rechargement automatique dans votre compte.

    • Cette fonctionnalité vous permet de définir un seuil auquel votre compte débitera automatiquement la carte enregistrée pour recharger les crédits d'utilisation.

      • Réfléchissez attentivement aux limites de rechargement automatique. Bien qu'elles assurent un service continu, elles agissent également comme une protection contre une utilisation élevée inattendue qui pourrait résulter de clés divulguées ou d'erreurs dans votre code.

3. Gestion sécurisée des clés API avec des variables d'environnement et des secrets

Une bonne pratique pour gérer en toute sécurité les clés API consiste à utiliser des variables d'environnement pour injecter et partager en toute sécurité des variables d'environnement. Lorsque vous déployez votre application dans un environnement cloud, vous pouvez utiliser leur solution de gestion des secrets pour transmettre en toute sécurité la clé API à votre application via une variable d'environnement sans partager par inadvertance votre clé API.

Si vous stockez des secrets localement à l'aide de dotenv, vous devez ajouter vos fichiers .env à votre fichier d'ignore de contrôle de source (par exemple, .gitignore pour git) pour éviter de distribuer par inadvertance des informations sensibles publiquement. Dans les environnements cloud, préférez le stockage de secrets chiffrés plutôt que les fichiers dotenv.

Exemple Python :

1. Créez un fichier .env dans le répertoire de votre projet.

2. Ajoutez votre clé API au fichier .env :

ANTHROPIC_API_KEY=votre-clé-api-ici

3. Installez le package python-dotenv :

pip install python-dotenv

4. Chargez la clé API dans votre script Python :

from dotenv import load_dotenvimport osload_dotenv()my_api_key = os.getenv("ANTHROPIC_API_KEY")

5. Si vous déployez votre application dans un environnement d'hébergement cloud, consultez la documentation de votre fournisseur cloud sur la façon d'ajouter votre clé API Anthropic et de la partager avec votre application (AWS, GCP, Azure, Vercel, Heroku). Certains fournisseurs proposent plusieurs façons d'injecter en toute sécurité des variables d'environnement dans votre application.

4. Faites pivoter régulièrement les clés API

Faites pivoter régulièrement vos clés API selon un calendrier cohérent (par exemple, tous les 90 jours) en en créant de nouvelles et en désactivant les anciennes. Cette routine aide à minimiser les risques potentiels si une clé est compromise.

5. Utilisez des clés séparées pour différents usages

Si possible, utilisez différentes clés API pour les environnements de développement, de test et de production. De cette façon, vous pouvez corréler votre utilisation à différents cas d'utilisation internes. Si votre clé API est compromise

Avez-vous trouvé la réponse à votre question ?