API 키는 Anthropic 서비스에 대한 액세스를 가능하게 하지만, 적절히 처리되지 않으면 심각한 보안 위험을 초래할 수 있습니다. API 키는 귀하의 계정에 대한 디지털 키입니다. 신용카드 번호와 마찬가지로, 누군가가 귀하의 API 키를 획득하여 사용하면 귀하를 대신하여 요금이 발생합니다. 이 문서는 API 키를 안전하게 유지하고 API/Console 계정에 대한 무단 액세스 및 요금 부과를 방지하기 위한 API 키 관리 모범 사례를 설명합니다.
일반적인 위험 및 취약점
API 키 유출의 가장 빈번한 원인 중 하나는 공개 코드 저장소나 제3자 도구에서의 우발적 노출입니다. 개발자들은 종종 실수로 평문 API 키를 공개 GitHub 저장소에 커밋하거나 제3자 도구에 입력하는데, 이는 무단 액세스와 관련 계정의 잠재적 남용으로 이어질 수 있습니다.
API 키 보안 모범 사례
1. API 키를 절대 공유하지 마세요
기밀로 유지하세요: 개인 비밀번호를 공유하지 않는 것처럼, API 키도 공유하지 마세요. 누군가가 API에 액세스해야 한다면, 자신만의 키를 획득해야 합니다.
공개 포럼에서 키를 공유하지 마세요: 귀하와 Anthropic 간의 소통이라 하더라도 공개 토론, 이메일 또는 지원 티켓에 API 키를 포함하지 마세요.
제3자 도구 사용 시 주의하세요: API 키를 제3자 도구나 플랫폼(웹 기반 IDE, 클라우드 제공업체 또는 CI/CD 플랫폼 등)에 업로드할 때, 해당 도구의 개발자에게 귀하의 Anthropic 계정에 대한 액세스 권한을 부여하는 것임을 고려하세요. 그들의 평판을 신뢰하지 않는다면, API 키도 맡기지 마세요.
제3자 제공업체를 사용할 때는 항상 API 키를 암호화된 비밀로 추가하세요. 코드나 구성 파일에 직접 포함하지 마세요.
2. 사용량과 로그를 면밀히 모니터링하세요
사용자 정의 속도 제한 API 조직의 경우: 계정 설정에서 사용량 및 지출 한도를 구현하세요.
이러한 한도는 유출된 키나 잘못된 스크립트로 인한 예상치 못한 사용량에 대한 보호 장치 역할을 합니다.
표준 속도 제한 API 조직의 경우: 계정에서 자동 재충전 설정을 활성화하고 구성하세요.
이 기능을 통해 계정이 자동으로 등록된 카드에 요금을 청구하여 사용 크레딧을 보충할 임계값을 설정할 수 있습니다.
자동 재충전 한도를 신중히 고려하세요. 지속적인 서비스를 보장하는 동시에, 유출된 키나 코드의 실수로 인한 예상치 못한 높은 사용량에 대한 보호 장치 역할도 합니다.
3. 환경 변수와 비밀을 사용한 API 키의 안전한 처리
API 키를 안전하게 처리하는 모범 사례는 환경 변수를 사용하여 환경 변수를 안전하게 주입하고 공유하는 것입니다. 애플리케이션을 클라우드 환경에 배포할 때, 해당 환경의 비밀 관리 솔루션을 사용하여 API 키를 실수로 공유하지 않고 환경 변수를 통해 애플리케이션에 안전하게 전달할 수 있습니다.
dotenv를 사용하여 로컬에 비밀을 저장하는 경우, 민감한 정보가 공개적으로 배포되는 것을 방지하기 위해 .env 파일을 소스 제어 무시 파일(예: git의 경우 .gitignore)에 추가해야 합니다. 클라우드 환경에서는 dotenv 파일 대신 암호화된 비밀 저장소를 선호하세요.
Python 예제:
1. 프로젝트 디렉토리에 .env 파일을 생성합니다.
2. .env 파일에 API 키를 추가합니다:
ANTHROPIC_API_KEY=your-api-key-here
3. python-dotenv 패키지를 설치합니다:
pip install python-dotenv
4. Python 스크립트에서 API 키를 로드합니다:
from dotenv import load_dotenvimport osload_dotenv()my_api_key = os.getenv("ANTHROPIC_API_KEY")