Kunci API memungkinkan akses ke Layanan Anthropic, tetapi dapat menimbulkan risiko keamanan yang signifikan jika tidak ditangani dengan benar. Kunci API Anda adalah kunci digital ke akun Anda. Seperti halnya nomor kartu kredit, jika seseorang memperoleh dan menggunakan kunci API Anda, mereka akan menimbulkan biaya atas nama Anda. Artikel ini menguraikan praktik terbaik untuk mengelola kunci API untuk memastikan keamanannya dan mencegah akses dan biaya yang tidak sah ke akun API/Console Anda.
Risiko dan Kerentanan Umum
Salah satu penyebab paling umum kebocoran kunci API adalah paparan yang tidak disengaja di repositori kode publik atau alat pihak ketiga. Pengembang sering tanpa sengaja memasukkan kunci API dalam bentuk teks biasa ke repositori GitHub publik atau memasukkannya ke alat pihak ketiga, yang dapat menyebabkan akses tidak sah dan potensi penyalahgunaan akun terkait.
Praktik Terbaik untuk Keamanan Kunci API
1. Jangan Pernah Membagikan Kunci API Anda
Jaga kerahasiaannya: Sama seperti Anda tidak akan membagikan kata sandi pribadi Anda, jangan bagikan kunci API Anda. Jika seseorang membutuhkan akses ke API, mereka harus mendapatkan kunci mereka sendiri.
Jangan bagikan kunci Anda di forum publik: Jangan sertakan kunci API Anda dalam diskusi publik, email, atau tiket dukungan, bahkan antara Anda dan Anthropic.
Berhati-hatilah dengan alat pihak ketiga: Pertimbangkan bahwa ketika Anda mengunggah Kunci API Anda ke alat atau platform pihak ketiga (seperti IDE berbasis web, Penyedia Cloud, atau platform CI/CD), Anda memberikan akses ke akun Anthropic Anda kepada pengembang alat tersebut. Jika Anda tidak mempercayai reputasi mereka, jangan percayakan kunci API Anda kepada mereka.
Saat menggunakan penyedia pihak ketiga, selalu tambahkan kunci API Anda sebagai rahasia terenkripsi. Jangan pernah menyertakannya langsung dalam kode atau file konfigurasi Anda.
2. Pantau Penggunaan dan Log dengan Cermat
Kami menyarankan untuk secara teratur meninjau log dan pola penggunaan untuk kunci API Anda dalam Console.
Untuk organisasi API dengan Batas Tingkat Kustom: Terapkan batas penggunaan dan pengeluaran dalam pengaturan akun Anda.
Batas-batas ini bertindak sebagai pengaman terhadap penggunaan tak terduga karena kunci yang bocor atau skrip yang salah.
Untuk organisasi API dengan Batas Tingkat Standar: Aktifkan dan konfigurasikan pengaturan isi ulang otomatis di akun Anda.
Fitur ini memungkinkan Anda untuk menetapkan ambang batas di mana akun Anda akan secara otomatis menagih kartu yang terdaftar untuk mengisi ulang kredit penggunaan.
Pertimbangkan dengan hati-hati batas isi ulang otomatis. Meskipun mereka memastikan layanan yang berkelanjutan, mereka juga bertindak sebagai pengaman terhadap penggunaan tinggi yang tidak terduga yang bisa terjadi akibat kunci yang bocor atau kesalahan dalam kode Anda.
3. Menangani Kunci API dengan Aman menggunakan Variabel Lingkungan dan Rahasia
Praktik terbaik untuk menangani Kunci API dengan aman adalah menggunakan variabel lingkungan untuk menyuntikkan dan membagikan variabel lingkungan secara aman. Ketika Anda menerapkan aplikasi Anda ke lingkungan cloud, Anda dapat menggunakan solusi manajemen rahasia mereka untuk meneruskan kunci API ke aplikasi Anda melalui variabel lingkungan secara aman tanpa secara tidak sengaja membagikan kunci API Anda.
Jika Anda menyimpan rahasia secara lokal menggunakan dotenv, Anda harus menambahkan file .env
Anda ke file ignore kontrol sumber Anda (misalnya, .gitignore
untuk git) untuk mencegah distribusi informasi sensitif secara tidak sengaja ke publik. Di lingkungan cloud, lebih baik gunakan penyimpanan rahasia terenkripsi daripada file dotenv.
Contoh Python:
1. Buat file .env
di direktori proyek Anda.
2. Tambahkan kunci API Anda ke file .env
:
ANTHROPIC_API_KEY=kunci-api-anda-di-sini
3. Instal paket python-dotenv
:
pip install python-dotenv
4. Muat kunci API dalam skrip Python Anda:
from dotenv import load_dotenvimport osload_dotenv() my_api_key = os.getenv("ANTHROPIC_API_KEY")
5. Jika Anda menerapkan aplikasi Anda ke lingkungan hosting cloud, lihat dokumentasi penyedia cloud Anda tentang cara menambahkan Kunci API Anthropic Anda dan membagikannya dengan aplikasi Anda (AWS, GCP, Azure, Vercel, Heroku). Beberapa penyedia menawarkan beberapa cara untuk menyuntikkan variabel lingkungan ke dalam aplikasi Anda secara aman.
4. Rotasi Kunci API Secara Teratur
Rotasi kunci API Anda secara teratur dengan jadwal yang konsisten (misalnya, setiap 90 hari) dengan membuat yang baru dan menonaktifkan yang lama. Rutinitas ini membantu meminimalkan potensi risiko jika kunci pernah disusupi.