API-ключи обеспечивают доступ к сервисам Anthropic, но они могут представлять значительные риски безопасности, если с ними не обращаться должным образом. Ваш API-ключ - это цифровой ключ к вашей учетной записи. Подобно номеру кредитной карты, если кто-то получит и использует ваш API-ключ, он понесет расходы от вашего имени. В этой статье описаны лучшие практики управления API-ключами, чтобы обеспечить их безопасность и предотвратить несанкционированный доступ и списания с вашей учетной записи API/Console.
Распространенные риски и уязвимости
Одной из наиболее частых причин утечки API-ключей является случайное раскрытие в публичных репозиториях кода или сторонних инструментах. Разработчики часто непреднамеренно фиксируют API-ключи в виде открытого текста в публичных репозиториях GitHub или вводят их в сторонние инструменты, что может привести к несанкционированному доступу и потенциальному злоупотреблению связанными учетными записями.
Лучшие практики безопасности API-ключей
1. Никогда не делитесь своим API-ключом
Сохраняйте его конфиденциальность: Как вы не стали бы делиться своим личным паролем, не делитесь своим API-ключом. Если кому-то нужен доступ к API, они должны получить свой собственный ключ.
Не делитесь своим ключом на публичных форумах: Не включайте свой API-ключ в публичные обсуждения, электронные письма или тикеты поддержки, даже между вами и Anthropic.
Будьте осторожны со сторонними инструментами: Учтите, что когда вы загружаете свой API-ключ в сторонние инструменты или платформы (такие как веб-IDE, облачный провайдер или платформа CI/CD), вы даете разработчику этого инструмента доступ к вашей учетной записи Anthropic. Если вы не доверяете их репутации, не доверяйте им свой API-ключ.
При использовании стороннего провайдера всегда добавляйте свой API-ключ как зашифрованный секрет. Никогда не включайте его напрямую в ваш код или конфигурационные файлы.
2. Внимательно следите за использованием и логами
Мы рекомендуем регулярно просматривать логи и шаблоны использования для ваших API-ключей в Console.
Для организаций Scale API: Реализуйте лимиты использования и расходов в настройках вашей учетной записи.
Эти лимиты действуют как защита от неожиданного использования из-за утечки ключей или ошибочных скриптов.
Для организаций Build API: Включите и настройте параметры автоматической перезагрузки в вашей учетной записи.
Эта функция позволяет вам установить порог, при котором ваша учетная запись будет автоматически списывать средства с карты для пополнения кредитов использования.
Тщательно продумайте лимиты автоматической перезагрузки. Хотя они обеспечивают непрерывность обслуживания, они также действуют как защита от неожиданно высокого использования, которое может возникнуть из-за утечки ключей или ошибок в вашем коде.
3. Безопасное обращение с API-ключами с помощью переменных среды и секретов
Лучшей практикой для безопасного обращения с API-ключами является использование переменных среды для безопасного внедрения и обмена переменными среды. Когда вы развертываете свое приложение в облачной среде, вы можете использовать их решение для управления секретами, чтобы безопасно передать API-ключ вашему приложению через переменную среды, не делясь случайно вашим API-ключом.
Если вы храните секреты локально с помощью dotenv, вы должны добавить ваши файлы .env в файл игнорирования системы контроля версий (например, .gitignore для git), чтобы предотвратить случайное распространение конфиденциальной информации публично. В облачных средах предпочтительнее использовать зашифрованное хранение секретов вместо файлов dotenv.
Пример на Python:
1. Создайте файл .env в директории вашего проекта.
2. Добавьте ваш API-ключ в файл .env:
ANTHROPIC_API_KEY=ваш-api-ключ-здесь
3. Установите пакет python-dotenv:
pip install python-dotenv
4. Загрузите API-ключ в вашем Python-скрипте:
from dotenv import load_dotenvimport osload_dotenv()
my_api_key = os.getenv("ANTHROPIC_API_KEY")5. Если вы развертываете ваше приложение в облачной среде хостинга, обратитесь к документации вашего облачного провайдера о том, как добавить ваш API-ключ Anthropic и поделиться им с вашим приложением (AWS, GCP, Azure, Vercel, Heroku). Некоторые провайдеры предлагают несколько способов безопасного внедрения переменных среды в ваше приложение.