API 金鑰能夠存取 Anthropic 服務,但如果處理不當,可能會帶來重大的安全風險。您的 API 金鑰是您帳戶的數位鑰匙。就像信用卡號碼一樣,如果有人取得並使用您的 API 金鑰,他們會代表您產生費用。本文概述了管理 API 金鑰的最佳實務,以確保它們保持安全並防止未經授權的存取和對您的 API/Console 帳戶收費。
常見風險和漏洞
API 金鑰洩露最常見的原因之一是在公共程式碼儲存庫或第三方工具中意外暴露。開發人員經常無意中將明文 API 金鑰提交到公共 GitHub 儲存庫或將其輸入第三方工具,這可能導致未經授權的存取和相關帳戶的潛在濫用。
API 金鑰安全的最佳實務
1. 絕不分享您的 API 金鑰
保持機密:就像您不會分享個人密碼一樣,不要分享您的 API 金鑰。如果有人需要存取 API,他們應該取得自己的金鑰。
不要在公共論壇分享您的金鑰:不要在公共討論、電子郵件或支援票證中包含您的 API 金鑰,即使是在您和 Anthropic 之間也不行。
對第三方工具保持謹慎:請考慮當您將 API 金鑰上傳到第三方工具或平台(如網頁型 IDE、雲端提供商或 CI/CD 平台)時,您正在給予該工具的開發者存取您 Anthropic 帳戶的權限。如果您不信任他們的聲譽,就不要信任他們處理您的 API 金鑰。
使用第三方提供商時,始終將您的 API 金鑰新增為加密機密。絕不要直接將其包含在您的程式碼或配置檔案中。
2. 密切監控使用情況和日誌
對於自訂速率限制 API 組織:在您的帳戶設定中實施使用和支出限制。
這些限制可作為防範因金鑰洩露或錯誤腳本導致意外使用的保護措施。
對於標準速率限制 API 組織:在您的帳戶中啟用並配置自動重新載入設定。
此功能允許您設定一個閾值,當達到該閾值時,您的帳戶將自動向檔案中的信用卡收費以補充使用額度。
仔細考慮自動重新載入限制。雖然它們確保服務的連續性,但它們也可作為防範因金鑰洩露或程式碼錯誤導致意外高使用量的保護措施。
3. 使用環境變數和機密安全處理 API 金鑰
安全處理 API 金鑰的最佳實務是使用環境變數來安全地注入和分享環境變數。當您將應用程式部署到雲端環境時,您可以使用他們的機密管理解決方案,通過環境變數安全地將 API 金鑰傳遞給您的應用程式,而不會無意中分享您的 API 金鑰。
如果您使用 dotenv 在本地儲存機密,您必須將您的 .env 檔案新增到您的原始碼控制忽略檔案(例如,git 的 .gitignore)中,以防止無意中公開分發敏感資訊。在雲端環境中,優先使用加密的機密儲存而不是 dotenv 檔案。
Python 範例:
1. 在您的專案目錄中建立一個 .env 檔案。
2. 將您的 API 金鑰新增到 .env 檔案:
ANTHROPIC_API_KEY=your-api-key-here
3. 安裝 python-dotenv 套件:
pip install python-dotenv
4. 在您的 Python 腳本中載入 API 金鑰:
from dotenv import load_dotenvimport osload_dotenv()my_api_key = os.getenv("ANTHROPIC_API_KEY")5. 如果您要將應用程式部署到雲端託管環境,請參考您的雲端提供商關於如何新增您的 Anthropic API 金鑰並與您的應用程式分享的文件(AWS、GCP、Azure、Vercel、Heroku)。一些提供商提供多種方式來安全地將環境變數注入您的應用程式。
4. 定期輪換 API 金鑰
按照一致的時間表定期輪換您的 API 金鑰(例如,每 90 天),方法是建立新金鑰並停用舊金鑰。這種例行做法有助於在金鑰遭到洩露時將潛在風險降到最低。
5. 為不同目的使用不同的金鑰
如果可能,為開發、測試和生產環境使用不同的 API 金鑰。這樣,您可以將使用情況與不同的內部使用案例相關聯。如果您的 API 金鑰遭到洩露,這允許您快速停用該