Vai al contenuto principale
Tutte le collezioniClaude API
Migliori Pratiche per le Chiavi API: Mantenere le Tue Chiavi Sicure e Protette
Migliori Pratiche per le Chiavi API: Mantenere le Tue Chiavi Sicure e Protette
Aggiornato ieri

Le chiavi API consentono l'accesso ai Servizi Anthropic, ma possono comportare rischi significativi per la sicurezza se non gestite correttamente. La tua chiave API è una chiave digitale per il tuo account. Proprio come un numero di carta di credito, se qualcuno ottiene e utilizza la tua chiave API, addebita costi a tuo nome. Questo articolo delinea le migliori pratiche per gestire le chiavi API per garantire che rimangano sicure e prevenire accessi non autorizzati e addebiti sul tuo account API/Console.

Rischi e vulnerabilità comuni

Una delle cause più frequenti di fughe di chiavi API è l'esposizione accidentale in repository di codice pubblici o strumenti di terze parti. Gli sviluppatori spesso inavvertitamente inseriscono chiavi API in chiaro in repository GitHub pubblici o le inseriscono in strumenti di terze parti, il che può portare ad accessi non autorizzati e potenziali abusi degli account associati.

Migliori pratiche per la sicurezza delle chiavi API

1. Non condividere mai la tua chiave API

  • Mantienila riservata: Proprio come non condivideresti la tua password personale, non condividere la tua chiave API. Se qualcuno ha bisogno di accedere all'API, dovrebbe ottenere la propria chiave.

  • Non condividere la tua chiave in forum pubblici: Non includere la tua chiave API in discussioni pubbliche, email o ticket di supporto, nemmeno tra te e Anthropic.

  • Fai attenzione con gli strumenti di terze parti: Considera che quando carichi la tua chiave API su strumenti o piattaforme di terze parti (come un IDE basato sul web, un provider cloud o una piattaforma CI/CD), stai dando allo sviluppatore di quello strumento l'accesso al tuo account Anthropic. Se non ti fidi della loro reputazione, non fidarti di loro con la tua chiave API.

    • Quando usi un provider di terze parti, aggiungi sempre la tua chiave API come segreto crittografato. Non includerla mai direttamente nel tuo codice o nei file di configurazione.

2. Monitora attentamente l'utilizzo e i log

Raccomandiamo di rivedere regolarmente i log e i modelli di utilizzo per le tue chiavi API all'interno della Console.

  • Per le organizzazioni API con limite di velocità personalizzato: Implementa limiti di utilizzo e di spesa nelle impostazioni del tuo account.

    • Questi limiti fungono da salvaguardia contro un utilizzo inaspettato dovuto a chiavi trapelate o script errati.

  • Per le organizzazioni API con limite di velocità standard: Abilita e configura le impostazioni di ricarica automatica nel tuo account.

    • Questa funzione ti permette di impostare una soglia alla quale il tuo account addebiterà automaticamente la carta registrata per ricaricare i crediti di utilizzo.

      • Considera attentamente i limiti di ricarica automatica. Mentre assicurano un servizio continuo, fungono anche da salvaguardia contro un utilizzo elevato inaspettato che potrebbe derivare da chiavi trapelate o errori nel tuo codice.

3. Gestione sicura delle chiavi API con variabili d'ambiente e segreti

Una best practice per gestire in modo sicuro le chiavi API è utilizzare variabili d'ambiente per iniettare e condividere in modo sicuro le variabili d'ambiente. Quando distribuisci la tua applicazione in un ambiente cloud, puoi utilizzare la loro soluzione di gestione dei segreti per passare in modo sicuro la chiave API alla tua applicazione tramite una variabile d'ambiente senza condividere inavvertitamente la tua chiave API.

Se stai memorizzando segreti localmente utilizzando dotenv, devi aggiungere i tuoi file .env al file di ignore del controllo di versione (ad esempio, .gitignore per git) per evitare di distribuire involontariamente informazioni sensibili pubblicamente. Negli ambienti cloud, preferisci l'archiviazione crittografata dei segreti invece dei file dotenv.

Esempio Python:

1. Crea un file .env nella directory del tuo progetto.

2. Aggiungi la tua chiave API al file .env:

ANTHROPIC_API_KEY=la-tua-chiave-api-qui

3. Installa il pacchetto python-dotenv:

pip install python-dotenv

4. Carica la chiave API nel tuo script Python:

from dotenv import load_dotenvimport osload_dotenv()my_api_key = os.getenv("ANTHROPIC_API_KEY")

5. Se stai distribuendo la tua applicazione in un ambiente di hosting cloud, fai riferimento alla documentazione del tuo provider cloud su come aggiungere la tua chiave API Anthropic e condividerla con la tua applicazione (AWS, GCP, Azure, Vercel, Heroku). Alcuni provider offrono più modi per iniettare in modo sicuro variabili d'ambiente nella tua app.

4. Ruota regolarmente le chiavi API

Ruota regolarmente le tue chiavi API secondo un programma coerente (ad esempio, ogni 90 giorni) creandone di nuove e disattivando quelle vecchie. Questa routine aiuta a minimizzare i potenziali rischi se una chiave viene mai compromessa.

5. Usa chiavi separate per scopi diversi

Se possibile, usa chiavi API diverse per gli ambienti di sviluppo, test e produzione. In questo modo, puoi correlare il tuo utilizzo a diversi casi d'uso interni. Se la tua chiave API viene compromessa, questo ti permette di disabilitare rapidamente solo quel caso d'uso e limitare potenziali danni.

6. Scansiona i repository alla ricerca di segreti

Controlla regolarmente i tuoi repository di controllo del codice sorgente per segreti

Articoli correlati
Cosa devo fare se sospetto che la mia chiave API sia stata compromessa?
Migliori Pratiche per i Limiti di Utilizzo
Hai ricevuto la risposta alla tua domanda?