Ir para conteúdo principal

Melhores Práticas para Chaves de API: Mantendo Suas Chaves Seguras e Protegidas

Atualizado ontem

As chaves de API permitem o acesso aos Serviços Anthropic, mas podem representar riscos significativos de segurança se não forem manuseadas adequadamente. Sua chave de API é uma chave digital para sua conta. Assim como um número de cartão de crédito, se alguém obtiver e usar sua chave de API, eles incorrem em cobranças em seu nome. Este artigo descreve as melhores práticas para gerenciar chaves de API para garantir que permaneçam seguras e evitar acesso não autorizado e cobranças em sua conta de API/Console.

Riscos e Vulnerabilidades Comuns

Uma das causas mais frequentes de vazamentos de chaves de API é a exposição acidental em repositórios de código públicos ou ferramentas de terceiros. Os desenvolvedores frequentemente cometem inadvertidamente chaves de API em texto simples em repositórios públicos do GitHub ou as inserem em ferramentas de terceiros, o que pode levar a acesso não autorizado e potencial abuso das contas associadas.

Melhores Práticas para Segurança de Chaves de API

1. Nunca Compartilhe Sua Chave de API

  • Mantenha-a confidencial: Assim como você não compartilharia sua senha pessoal, não compartilhe sua chave de API. Se alguém precisar de acesso à API, deve obter sua própria chave.

  • Não compartilhe sua chave em fóruns públicos: Não inclua sua chave de API em discussões públicas, e-mails ou tickets de suporte, mesmo entre você e a Anthropic.

  • Tenha cuidado com ferramentas de terceiros: Considere que ao fazer upload de sua chave de API para ferramentas ou plataformas de terceiros (como um IDE baseado na web, Provedor de Nuvem ou plataforma CI/CD), você está dando ao desenvolvedor dessa ferramenta acesso à sua conta Anthropic. Se você não confia na reputação deles, não confie a eles sua chave de API.

    • Ao usar um provedor terceirizado, sempre adicione sua chave de API como um segredo criptografado. Nunca a inclua diretamente em seu código ou arquivos de configuração.

2. Monitore o Uso e os Logs de Perto

Recomendamos revisar regularmente os logs e padrões de uso de suas chaves de API no Console.

  • Para organizações de API com Limite de Taxa Personalizado: Implemente limites de uso e gastos nas configurações da sua conta.

    • Esses limites atuam como uma salvaguarda contra uso inesperado devido a chaves vazadas ou scripts errantes.

  • Para organizações de API com Limite de Taxa Padrão: Ative e configure as configurações de recarga automática em sua conta.

    • Este recurso permite que você defina um limite no qual sua conta cobrará automaticamente o cartão registrado para recarregar créditos de uso.

      • Considere cuidadosamente os limites de recarga automática. Embora garantam serviço contínuo, também atuam como uma salvaguarda contra uso alto inesperado que pode resultar de chaves vazadas ou erros em seu código.

3. Manuseio Seguro de Chaves de API com Variáveis de Ambiente e Segredos

Uma prática recomendada para lidar com segurança com chaves de API é usar variáveis de ambiente para injetar e compartilhar variáveis de ambiente com segurança. Quando você implanta seu aplicativo em um ambiente de nuvem, você pode usar a solução de gerenciamento de segredos deles para passar com segurança a chave de API para seu aplicativo por meio de uma variável de ambiente sem compartilhar inadvertidamente sua chave de API.

Se você estiver armazenando segredos localmente usando dotenv, você deve adicionar seus arquivos .env ao arquivo de ignorar do controle de fonte (por exemplo, .gitignore para git) para evitar distribuir inadvertidamente informações sensíveis publicamente. Em ambientes de nuvem, prefira o armazenamento de segredos criptografados em vez de arquivos dotenv.

Exemplo em Python:

1. Crie um arquivo .env no diretório do seu projeto.

2. Adicione sua chave de API ao arquivo .env:

ANTHROPIC_API_KEY=sua-chave-api-aqui

3. Instale o pacote python-dotenv:

pip install python-dotenv

4. Carregue a chave de API em seu script Python:

from dotenv import load_dotenvimport osload_dotenv()my_api_key = os.getenv("ANTHROPIC_API_KEY")

5. Se você estiver implantando seu aplicativo em um ambiente de hospedagem em nuvem, consulte a documentação do seu provedor de nuvem sobre como adicionar sua chave de API Anthropic e compartilhá-la com seu aplicativo (AWS, GCP, Azure, Vercel, Heroku). Alguns provedores oferecem várias maneiras de injetar com segurança variáveis de ambiente em seu aplicativo.

4. Rotacione as Chaves de API Regularmente

Rotacione regularmente suas chaves de API em um cronograma consistente (por exemplo, a cada 90 dias) criando novas e desativando as antigas. Esta rotina ajuda a minimizar riscos potenciais se uma chave for comprometida.

5. Use chaves separadas para diferentes propósitos

Se possível, use diferentes chaves de API para ambientes de desenvolvimento, teste e produção. Dessa forma, você pode correlacionar seu uso a diferentes casos de uso internos. Se sua chave de API for comprometida, isso permite que você desative rapidamente apenas esse caso de uso e limite qualquer dano potencial.

6. Escaneie Repositórios em Busca de Segredos

Verifique regularmente seus repositórios de controle de fonte em busca de segredos acidentalmente comprometidos.

Isto respondeu à sua pergunta?