API-ключи обеспечивают доступ к сервисам Anthropic, но они могут представлять значительные риски безопасности, если с ними неправильно обращаться. Ваш API-ключ — это цифровой ключ к вашему аккаунту. Как и номер кредитной карты, если кто-то получит и использует ваш API-ключ, он будет нести расходы от вашего имени. В этой статье изложены лучшие практики управления API-ключами для обеспечения их безопасности и предотвращения несанкционированного доступа и списаний с вашего API/Console аккаунта.
Распространенные риски и уязвимости
Одной из наиболее частых причин утечки API-ключей является случайное раскрытие в публичных репозиториях кода или сторонних инструментах. Разработчики часто непреднамеренно фиксируют API-ключи в открытом тексте в публичных репозиториях GitHub или вводят их в сторонние инструменты, что может привести к несанкционированному доступу и потенциальному злоупотреблению связанными аккаунтами.
Лучшие практики безопасности API-ключей
1. Никогда не делитесь своим API-ключом
Держите его в секрете: Так же, как вы не стали бы делиться своим личным паролем, не делитесь своим API-ключом. Если кому-то нужен доступ к API, он должен получить свой собственный ключ.
Не делитесь своим ключом на публичных форумах: Не включайте свой API-ключ в публичные обсуждения, электронные письма или заявки в службу поддержки, даже между вами и Anthropic.
Проявляйте осторожность со сторонними инструментами: Учтите, что когда вы загружаете свой API-ключ в сторонние инструменты или платформы (такие как веб-IDE, облачный провайдер или CI/CD платформа), вы предоставляете разработчику этого инструмента доступ к вашему аккаунту Anthropic. Если вы не доверяете их репутации, не доверяйте им свой API-ключ.
При использовании стороннего провайдера всегда добавляйте свой API-ключ как зашифрованный секрет. Никогда не включайте его напрямую в свой код или файлы конфигурации.
2. Внимательно отслеживайте использование и логи
Мы рекомендуем регулярно просматривать логи и паттерны использования для ваших API-ключей в Console.
Для организаций с пользовательскими лимитами скорости API: Установите лимиты использования и расходов в настройках вашего аккаунта.
Эти лимиты действуют как защита от неожиданного использования из-за утечки ключей или ошибочных скриптов.
Для организаций со стандартными лимитами скорости API: Включите и настройте параметры автоматического пополнения в вашем аккаунте.
Эта функция позволяет установить порог, при котором ваш аккаунт автоматически спишет средства с карты в файле для пополнения кредитов использования.
Тщательно рассмотрите лимиты автоматического пополнения. Хотя они обеспечивают непрерывность сервиса, они также действуют как защита от неожиданно высокого использования, которое может возникнуть из-за утечки ключей или ошибок в вашем коде.
3. Безопасная работа с API-ключами с помощью переменных окружения и секретов
Лучшей практикой для безопасной работы с API-ключами является использование переменных окружения для безопасного внедрения и совместного использования переменных окружения. При развертывании вашего приложения в облачной среде вы можете использовать их решение для управления секретами, чтобы безопасно передать API-ключ вашему приложению через переменную окружения, не раскрывая случайно ваш API-ключ.
Если вы храните секреты локально с помощью dotenv, вы должны добавить ваши .env файлы в файл игнорирования системы контроля версий (например, .gitignore для git), чтобы предотвратить случайное публичное распространение конфиденциальной информации. В облачных средах предпочтительнее использовать зашифрованное хранение секретов вместо dotenv файлов.
Пример на Python:
1. Создайте файл .env в директории вашего проекта.
2. Добавьте ваш API-ключ в файл .env:
ANTHROPIC_API_KEY=your-api-key-here
3. Установите пакет python-dotenv:
pip install python-dotenv
4. Загрузите API-ключ в вашем Python скрипте:
from dotenv import load_dotenvimport osload_dotenv()my_api_key = os.getenv("ANTHROPIC_API_KEY")
5. Если вы развертываете ваше приложение в облачной среде хостинга, обратитесь к документации вашего облачного провайдера о том, как добавить ваш Anthropic API-ключ и поделиться им с вашим приложением (AWS, GCP, Azure, Vercel, Heroku). Некоторые провайдеры предлагают несколько способов безопасного внедрения переменных окружения в ваше приложение.