Passer au contenu principal

Meilleures pratiques pour les clés API : Garder vos clés sûres et sécurisées

Mis à jour aujourd’hui

Les clés API permettent l'accès aux Services Anthropic, mais elles peuvent présenter des risques de sécurité importants si elles ne sont pas gérées correctement. Votre clé API est une clé numérique pour votre compte. Tout comme un numéro de carte de crédit, si quelqu'un obtient et utilise votre clé API, il engage des frais à votre nom. Cet article présente les meilleures pratiques pour gérer les clés API afin de s'assurer qu'elles restent sécurisées et d'empêcher l'accès non autorisé et les frais sur votre compte API/Console.

Risques et Vulnérabilités Courants

L'une des causes les plus fréquentes de fuites de clés API est l'exposition accidentelle dans des dépôts de code publics ou des outils tiers. Les développeurs commettent souvent par inadvertance des clés API en texte brut dans des dépôts GitHub publics ou les saisissent dans des outils tiers, ce qui peut conduire à un accès non autorisé et à un abus potentiel des comptes associés.

Meilleures Pratiques pour la Sécurité des Clés API

1. Ne Jamais Partager Votre Clé API

  • Gardez-la confidentielle : Tout comme vous ne partageriez pas votre mot de passe personnel, ne partagez pas votre clé API. Si quelqu'un a besoin d'accéder à l'API, il devrait obtenir sa propre clé.

  • Ne partagez pas votre clé dans des forums publics : N'incluez pas votre clé API dans des discussions publiques, des e-mails ou des tickets de support, même entre vous et Anthropic.

  • Faites preuve de prudence avec les outils tiers : Considérez que lorsque vous téléchargez votre clé API vers des outils ou plateformes tiers (comme un IDE basé sur le web, un fournisseur de cloud ou une plateforme CI/CD), vous donnez au développeur de cet outil l'accès à votre compte Anthropic. Si vous ne faites pas confiance à leur réputation, ne leur faites pas confiance avec votre clé API.

    • Lors de l'utilisation d'un fournisseur tiers, ajoutez toujours votre clé API comme un secret chiffré. Ne l'incluez jamais directement dans votre code ou vos fichiers de configuration.

2. Surveillez Étroitement l'Utilisation et les Journaux

Nous recommandons de réviser régulièrement les journaux et les modèles d'utilisation de vos clés API dans la Console.

  • Pour les organisations API avec limite de débit personnalisée : Implémentez des limites d'utilisation et de dépenses dans les paramètres de votre compte.

    • Ces limites agissent comme une protection contre une utilisation inattendue due à des clés divulguées ou des scripts erronés.

  • Pour les organisations API avec limite de débit standard : Activez et configurez les paramètres de rechargement automatique dans votre compte.

    • Cette fonctionnalité vous permet de définir un seuil auquel votre compte chargera automatiquement la carte enregistrée pour reconstituer les crédits d'utilisation.

      • Considérez attentivement les limites de rechargement automatique. Bien qu'elles assurent un service continu, elles agissent aussi comme une protection contre une utilisation élevée inattendue qui pourrait résulter de clés divulguées ou d'erreurs dans votre code.

3. Gestion Sécurisée des Clés API avec des Variables d'Environnement et des Secrets

Une meilleure pratique pour gérer en toute sécurité les clés API est d'utiliser des variables d'environnement pour injecter et partager de manière sécurisée les variables d'environnement. Lorsque vous déployez votre application dans un environnement cloud, vous pouvez utiliser leur solution de gestion des secrets pour transmettre de manière sécurisée la clé API à votre application via une variable d'environnement sans partager par inadvertance votre clé API.

Si vous stockez des secrets localement en utilisant dotenv, vous devez ajouter vos fichiers .env à votre fichier d'ignore de contrôle de source (par exemple, .gitignore pour git) pour éviter de distribuer par inadvertance des informations sensibles publiquement. Dans les environnements cloud, préférez le stockage de secrets chiffrés plutôt que les fichiers dotenv.

Exemple Python :

1. Créez un fichier .env dans le répertoire de votre projet.

2. Ajoutez votre clé API au fichier .env :

ANTHROPIC_API_KEY=votre-clé-api-ici

3. Installez le package python-dotenv :

pip install python-dotenv

4. Chargez la clé API dans votre script Python :

from dotenv import load_dotenvimport osload_dotenv()my_api_key = os.getenv("ANTHROPIC_API_KEY")

5. Si vous déployez votre application dans un environnement d'hébergement cloud, référez-vous à la documentation de votre fournisseur cloud sur comment ajouter votre clé API Anthropic et la partager avec votre application (AWS, GCP, Azure, Vercel, Heroku). Certains fournisseurs offrent plusieurs façons d'injecter de manière sécurisée des variables d'environnement dans votre application.

4. Effectuez une Rotation Régulière des Clés API

Effectuez régulièrement une rotation de vos clés API selon un calendrier cohérent (par exemple, tous les 90 jours) en créant de nouvelles clés et en désactivant les anciennes. Cette routine aide à minimiser les risques potentiels si une clé est jamais compromise.

5. Utilisez des clés séparées pour différents objectifs

Si possible, utilisez différentes clés API pour les environnements de développement, de test et de production. De cette façon, vous pouvez corréler votre utilisation à différents cas d'usage internes. Si votre clé API est compromise, cela vous permet de désactiver rapidement juste ce cas d'usage et de limiter tout dommage potentiel.

6. Scannez les Dépôts pour les Secrets

Articles connexes
J'ai créé un compte dans Console et je veux commencer à utiliser l'API. Que dois-je faire ?
Notre approche des limites de débit d'API
Que dois-je faire si je soupçonne que ma clé API a été compromise ?
Outils de Protection API
Transition de la version bêta privée de l'API vers la disponibilité générale
Avez-vous trouvé la réponse à votre question ?