К основному содержимому

Лучшие практики использования API-ключей: Обеспечение безопасности ваших ключей

Обновлено на этой неделе

API-ключи обеспечивают доступ к сервисам Anthropic, но они могут представлять значительные риски безопасности, если с ними неправильно обращаться. Ваш API-ключ — это цифровой ключ к вашему аккаунту. Как и номер кредитной карты, если кто-то получит и использует ваш API-ключ, он будет нести расходы от вашего имени. В этой статье изложены лучшие практики управления API-ключами для обеспечения их безопасности и предотвращения несанкционированного доступа и списаний с вашего API/Console аккаунта.

Распространенные риски и уязвимости

Одной из наиболее частых причин утечки API-ключей является случайное раскрытие в публичных репозиториях кода или сторонних инструментах. Разработчики часто непреднамеренно фиксируют API-ключи в открытом тексте в публичных репозиториях GitHub или вводят их в сторонние инструменты, что может привести к несанкционированному доступу и потенциальному злоупотреблению связанными аккаунтами.

Лучшие практики безопасности API-ключей

1. Никогда не делитесь своим API-ключом

  • Держите его в секрете: Так же, как вы не стали бы делиться своим личным паролем, не делитесь своим API-ключом. Если кому-то нужен доступ к API, он должен получить свой собственный ключ.

  • Не делитесь своим ключом на публичных форумах: Не включайте свой API-ключ в публичные обсуждения, электронные письма или заявки в службу поддержки, даже между вами и Anthropic.

  • Проявляйте осторожность со сторонними инструментами: Учтите, что когда вы загружаете свой API-ключ в сторонние инструменты или платформы (такие как веб-IDE, облачный провайдер или CI/CD платформа), вы предоставляете разработчику этого инструмента доступ к вашему аккаунту Anthropic. Если вы не доверяете их репутации, не доверяйте им свой API-ключ.

    • При использовании стороннего провайдера всегда добавляйте свой API-ключ как зашифрованный секрет. Никогда не включайте его напрямую в свой код или файлы конфигурации.

2. Внимательно отслеживайте использование и логи

Мы рекомендуем регулярно просматривать логи и паттерны использования для ваших API-ключей в Console.

  • Для организаций с пользовательскими лимитами скорости API: Установите лимиты использования и расходов в настройках вашего аккаунта.

    • Эти лимиты действуют как защита от неожиданного использования из-за утечки ключей или ошибочных скриптов.

  • Для организаций со стандартными лимитами скорости API: Включите и настройте параметры автоматического пополнения в вашем аккаунте.

    • Эта функция позволяет установить порог, при котором ваш аккаунт автоматически спишет средства с карты в файле для пополнения кредитов использования.

      • Тщательно рассмотрите лимиты автоматического пополнения. Хотя они обеспечивают непрерывность сервиса, они также действуют как защита от неожиданно высокого использования, которое может возникнуть из-за утечки ключей или ошибок в вашем коде.

3. Безопасная работа с API-ключами с помощью переменных окружения и секретов

Лучшей практикой для безопасной работы с API-ключами является использование переменных окружения для безопасного внедрения и совместного использования переменных окружения. Когда вы развертываете свое приложение в облачной среде, вы можете использовать их решение для управления секретами, чтобы безопасно передать API-ключ вашему приложению через переменную окружения, не раскрывая случайно ваш API-ключ.

Если вы храните секреты локально с помощью dotenv, вы должны добавить ваши .env файлы в файл игнорирования системы контроля версий (например, .gitignore для git), чтобы предотвратить случайное публичное распространение конфиденциальной информации. В облачных средах предпочтительнее использовать зашифрованное хранение секретов вместо dotenv файлов.

Пример на Python:

1. Создайте файл .env в директории вашего проекта.

2. Добавьте ваш API-ключ в файл .env:

ANTHROPIC_API_KEY=your-api-key-here

3. Установите пакет python-dotenv:

pip install python-dotenv

4. Загрузите API-ключ в вашем Python скрипте:

from dotenv import load_dotenvimport osload_dotenv()my_api_key = os.getenv("ANTHROPIC_API_KEY")

5. Если вы развертываете свое приложение в облачной среде хостинга, обратитесь к документации вашего облачного провайдера о том, как добавить ваш Anthropic API-ключ и поделиться им с вашим приложением (AWS, GCP, Azure, Vercel, Heroku). Некоторые провайдеры предлагают несколько способов безопасного внедрения переменных окружения в ваше приложение.

Нашли ответ на свой вопрос?