К основному содержимому
Все коллекцииClaude API
Лучшие практики работы с API-ключами: Как сохранить ваши ключи в безопасности
Лучшие практики работы с API-ключами: Как сохранить ваши ключи в безопасности
Обновлено более 2 нед. назад

API-ключи обеспечивают доступ к сервисам Anthropic, но они могут представлять значительные риски безопасности, если с ними не обращаться должным образом. Ваш API-ключ - это цифровой ключ к вашей учетной записи. Подобно номеру кредитной карты, если кто-то получит и использует ваш API-ключ, он понесет расходы от вашего имени. В этой статье описаны лучшие практики управления API-ключами, чтобы обеспечить их безопасность и предотвратить несанкционированный доступ и списания с вашей учетной записи API/Console.

Распространенные риски и уязвимости

Одной из наиболее частых причин утечки API-ключей является случайное раскрытие в публичных репозиториях кода или сторонних инструментах. Разработчики часто непреднамеренно фиксируют API-ключи в виде открытого текста в публичных репозиториях GitHub или вводят их в сторонние инструменты, что может привести к несанкционированному доступу и потенциальному злоупотреблению связанными учетными записями.

Лучшие практики безопасности API-ключей

1. Никогда не делитесь своим API-ключом

  • Держите его в тайне: Как вы не стали бы делиться своим личным паролем, не делитесь своим API-ключом. Если кому-то нужен доступ к API, они должны получить свой собственный ключ.

  • Не делитесь своим ключом на публичных форумах: Не включайте свой API-ключ в публичные обсуждения, электронные письма или тикеты поддержки, даже между вами и Anthropic.

  • Будьте осторожны со сторонними инструментами: Учтите, что когда вы загружаете свой API-ключ в сторонние инструменты или платформы (такие как веб-IDE, облачный провайдер или платформа CI/CD), вы даете разработчику этого инструмента доступ к вашей учетной записи Anthropic. Если вы не доверяете их репутации, не доверяйте им свой API-ключ.

    • При использовании стороннего провайдера всегда добавляйте свой API-ключ как зашифрованный секрет. Никогда не включайте его напрямую в ваш код или конфигурационные файлы.

2. Внимательно следите за использованием и логами

Мы рекомендуем регулярно просматривать логи и шаблоны использования для ваших API-ключей в Console.

  • Для организаций API с пользовательским ограничением скорости: Реализуйте ограничения использования и расходов в настройках вашей учетной записи.

    • Эти ограничения действуют как защита от неожиданного использования из-за утечки ключей или ошибочных скриптов.

  • Для организаций API со стандартным ограничением скорости: Включите и настройте параметры автоматической перезагрузки в вашей учетной записи.

    • Эта функция позволяет вам установить порог, при котором ваша учетная запись автоматически спишет средства с карты для пополнения кредитов использования.

      • Тщательно продумайте лимиты автоматической перезагрузки. Хотя они обеспечивают непрерывность обслуживания, они также действуют как защита от неожиданно высокого использования, которое может возникнуть из-за утечки ключей или ошибок в вашем коде.

3. Безопасное обращение с API-ключами с помощью переменных среды и секретов

Лучшей практикой для безопасного обращения с API-ключами является использование переменных среды для безопасного внедрения и обмена переменными среды. Когда вы развертываете свое приложение в облачной среде, вы можете использовать их решение для управления секретами, чтобы безопасно передать API-ключ вашему приложению через переменную среды, не делясь случайно вашим API-ключом.

Если вы храните секреты локально с помощью dotenv, вы должны добавить ваши файлы .env в файл игнорирования системы контроля версий (например, .gitignore для git), чтобы предотвратить случайное распространение конфиденциальной информации публично. В облачных средах предпочтительнее использовать зашифрованное хранение секретов вместо файлов dotenv.

Пример на Python:

1. Создайте файл .env в директории вашего проекта.

2. Добавьте ваш API-ключ в файл .env:

ANTHROPIC_API_KEY=ваш-api-ключ-здесь

3. Установите пакет python-dotenv:

pip install python-dotenv

4. Загрузите API-ключ в вашем Python-скрипте:

from dotenv import load_dotenvimport osload_dotenv()my_api_key = os.getenv("ANTHROPIC_API_KEY")

5. Если вы развертываете свое приложение в облачной среде хостинга, обратитесь к документации вашего облачного провайдера о том, как добавить ваш API-ключ Anthropic и поделиться им с вашим приложением (AWS, GCP, Azure, Vercel, Heroku). Некоторые провайдеры предлагают несколько способов безопасного внедрения переменных среды в ваше приложение.

Нашли ответ на свой вопрос?