Lewati ke konten utama

Praktik Terbaik Kunci API: Menjaga Kunci Anda Tetap Aman dan Terlindungi

Diperbarui lebih dari satu minggu yang lalu

Kunci API memungkinkan akses ke Layanan Anthropic, tetapi dapat menimbulkan risiko keamanan yang signifikan jika tidak ditangani dengan benar. Kunci API Anda adalah kunci digital ke akun Anda. Seperti halnya nomor kartu kredit, jika seseorang memperoleh dan menggunakan kunci API Anda, mereka akan menimbulkan biaya atas nama Anda. Artikel ini menguraikan praktik terbaik untuk mengelola kunci API guna memastikan keamanannya dan mencegah akses tidak sah serta biaya pada akun API/Console Anda.

Risiko dan Kerentanan Umum

Salah satu penyebab paling sering terjadinya kebocoran kunci API adalah paparan yang tidak disengaja di repositori kode publik atau alat pihak ketiga. Pengembang sering kali secara tidak sengaja melakukan commit kunci API dalam bentuk teks biasa ke repositori GitHub publik atau memasukkannya ke dalam alat pihak ketiga, yang dapat menyebabkan akses tidak sah dan potensi penyalahgunaan akun terkait.

Praktik Terbaik untuk Keamanan Kunci API

1. Jangan Pernah Membagikan Kunci API Anda

  • Jaga kerahasiaan: Sama seperti Anda tidak akan membagikan kata sandi pribadi, jangan bagikan kunci API Anda. Jika seseorang memerlukan akses ke API, mereka harus memperoleh kunci mereka sendiri.

  • Jangan bagikan kunci Anda di forum publik: Jangan sertakan kunci API Anda dalam diskusi publik, email, atau tiket dukungan, bahkan antara Anda dan Anthropic.

  • Berhati-hatilah dengan alat pihak ketiga: Pertimbangkan bahwa ketika Anda mengunggah Kunci API Anda ke alat atau platform pihak ketiga (seperti IDE berbasis web, Penyedia Cloud, atau platform CI/CD), Anda memberikan pengembang alat tersebut akses ke akun Anthropic Anda. Jika Anda tidak mempercayai reputasi mereka, jangan percayakan kunci API Anda kepada mereka.

    • Saat menggunakan penyedia pihak ketiga, selalu tambahkan kunci API Anda sebagai rahasia terenkripsi. Jangan pernah menyertakannya langsung dalam kode atau file konfigurasi Anda.

2. Pantau Penggunaan dan Log dengan Cermat

Kami merekomendasikan untuk secara rutin meninjau log dan pola penggunaan untuk kunci API Anda dalam Console.

  • Untuk organisasi API Custom Rate Limit: Terapkan batas penggunaan dan pengeluaran dalam pengaturan akun Anda.

    • Batas ini berfungsi sebagai perlindungan terhadap penggunaan tak terduga karena kunci yang bocor atau skrip yang salah.

  • Untuk organisasi API Standard Rate Limit: Aktifkan dan konfigurasikan pengaturan auto-reload dalam akun Anda.

    • Fitur ini memungkinkan Anda menetapkan ambang batas di mana akun Anda akan secara otomatis menagih kartu yang terdaftar untuk mengisi ulang kredit penggunaan.

      • Pertimbangkan dengan hati-hati batas auto-reload. Meskipun memastikan layanan berkelanjutan, batas ini juga berfungsi sebagai perlindungan terhadap penggunaan tinggi yang tidak terduga yang dapat terjadi akibat kunci yang bocor atau kesalahan dalam kode Anda.

3. Menangani Kunci API dengan Aman menggunakan Variabel Environment dan Secrets

Praktik terbaik untuk menangani Kunci API dengan aman adalah menggunakan variabel environment untuk menyuntikkan dan membagikan variabel environment dengan aman. Ketika Anda menerapkan aplikasi ke lingkungan cloud, Anda dapat menggunakan solusi manajemen rahasia mereka untuk meneruskan kunci API dengan aman ke aplikasi Anda melalui variabel environment tanpa secara tidak sengaja membagikan kunci API Anda.

Jika Anda menyimpan rahasia secara lokal menggunakan dotenv, Anda harus menambahkan file .env Anda ke file ignore kontrol sumber (misalnya, .gitignore untuk git) untuk mencegah distribusi informasi sensitif secara tidak sengaja ke publik. Dalam lingkungan cloud, lebih baik menggunakan penyimpanan rahasia terenkripsi daripada file dotenv.

Contoh Python:

1. Buat file .env di direktori proyek Anda.

2. Tambahkan kunci API Anda ke file .env:

ANTHROPIC_API_KEY=your-api-key-here

3. Instal paket python-dotenv:

pip install python-dotenv

4. Muat kunci API dalam skrip Python Anda:

from dotenv import load_dotenvimport osload_dotenv()my_api_key = os.getenv("ANTHROPIC_API_KEY")

5. Jika Anda menerapkan aplikasi ke lingkungan hosting cloud, rujuk dokumentasi penyedia cloud Anda tentang cara menambahkan Kunci API Anthropic dan membagikannya dengan aplikasi Anda (AWS, GCP, Azure, Vercel, Heroku). Beberapa penyedia menawarkan berbagai cara untuk menyuntikkan variabel environment dengan aman ke dalam aplikasi Anda.

4. Rotasi Kunci API Secara Rutin

Rotasi kunci API Anda secara rutin dengan jadwal yang konsisten (misalnya, setiap 90 hari) dengan membuat yang baru dan menonaktifkan yang lama. Rutinitas ini membantu meminimalkan risiko potensial jika kunci pernah dikompromikan.

5. Gunakan kunci terpisah untuk tujuan yang berbeda

Jika memungkinkan, gunakan kunci API yang berbeda untuk lingkungan pengembangan, pengujian, dan produksi. Dengan cara ini, Anda dapat menghubungkan penggunaan Anda dengan kasus penggunaan internal yang berbeda. Jika Kunci API Anda dikompromikan, ini memungkinkan Anda untuk dengan cepat menonaktifkan hanya kasus penggunaan tersebut dan membatasi potensi kerus

Apakah pertanyaan Anda terjawab?