Passer au contenu principal

Bonnes pratiques des clés API : Sécuriser vos clés et les protéger

Mis à jour aujourd’hui

Les clés API permettent d'accéder à l'API Claude, mais elles peuvent présenter des risques de sécurité importants si elles ne sont pas gérées correctement. Votre clé API est une clé numérique d'accès à votre compte. Tout comme un numéro de carte de crédit, si quelqu'un obtient et utilise votre clé API, des frais seront facturés à votre compte. Cet article décrit les meilleures pratiques pour gérer les clés API afin de les maintenir sécurisées et d'éviter les accès non autorisés et les frais facturés à votre compte Claude Console.

Risques et vulnérabilités courants

L'une des causes les plus fréquentes de fuite de clés API est l'exposition accidentelle dans des référentiels de code publics ou des outils tiers. Les développeurs commettent souvent par inadvertance des clés API en texte brut dans des référentiels GitHub publics ou les saisissent dans des outils tiers, ce qui peut entraîner un accès non autorisé et un abus potentiel des comptes associés.

Meilleures pratiques pour la sécurité des clés API

1. Ne jamais partager votre clé API

  • Gardez-la confidentielle : Tout comme vous ne partageriez pas votre mot de passe personnel, ne partagez pas votre clé API. Si quelqu'un a besoin d'accéder à l'API Claude, il doit obtenir sa propre clé.

  • Ne partagez pas votre clé dans les forums publics : N'incluez pas votre clé API dans les discussions publiques, les e-mails ou les tickets d'assistance, même entre vous et Anthropic.

  • Soyez prudent avec les outils tiers : Considérez que lorsque vous téléchargez votre clé API sur des outils ou des plateformes tiers (comme un IDE basé sur le web, un fournisseur de cloud ou une plateforme CI/CD), vous donnez au développeur de cet outil l'accès à votre compte Claude Console. Si vous ne faites pas confiance à leur réputation, ne leur faites pas confiance avec votre clé API.

    • Lorsque vous utilisez un fournisseur tiers, ajoutez toujours votre clé API en tant que secret chiffré. Ne l'incluez jamais directement dans votre code ou vos fichiers de configuration.

2. Surveiller étroitement l'utilisation et les journaux

Nous recommandons d'examiner régulièrement les journaux et les modèles d'utilisation de vos clés API dans la Console.

  • Pour les organisations API avec limite de débit personnalisée : Implémentez des limites d'utilisation et de dépenses dans les paramètres de votre compte.

    • Ces limites agissent comme une protection contre une utilisation inattendue due à des clés divulguées ou des scripts erronés.

  • Pour les organisations API avec limite de débit standard : Activez et configurez les paramètres de rechargement automatique dans votre compte.

    • Cette fonctionnalité vous permet de définir un seuil auquel votre compte facturera automatiquement la carte enregistrée pour reconstituer les crédits d'utilisation.

      • Considérez attentivement les limites de rechargement automatique. Bien qu'elles assurent un service continu, elles agissent également comme une protection contre une utilisation élevée inattendue qui pourrait résulter de clés divulguées ou d'erreurs dans votre code.

3. Gestion sécurisée des clés API avec les variables d'environnement et les secrets

Une meilleure pratique pour gérer les clés API en toute sécurité est d'utiliser des variables d'environnement pour injecter et partager les variables d'environnement de manière sécurisée. Lorsque vous déployez votre application dans un environnement cloud, vous pouvez utiliser leur solution de gestion des secrets pour transmettre de manière sécurisée la clé API à votre application via une variable d'environnement sans divulguer accidentellement votre clé API.

Si vous stockez des secrets localement à l'aide de dotenv, vous devez ajouter vos fichiers .env à votre fichier d'exclusion du contrôle de source (par exemple, .gitignore pour git) pour éviter de distribuer accidentellement des informations sensibles publiquement. Dans les environnements cloud, préférez le stockage des secrets chiffré au lieu des fichiers dotenv.

Exemple Python :

1. Créez un fichier .env dans le répertoire de votre projet.

2. Ajoutez votre clé API au fichier .env :

ANTHROPIC_API_KEY=your-api-key-here

3. Installez le package python-dotenv :

pip install python-dotenv

4. Chargez la clé API dans votre script Python :

from dotenv import load_dotenv

import os

load_dotenv()
my_api_key = os.getenv("ANTHROPIC_API_KEY")

5. Si vous déployez votre application dans un environnement d'hébergement cloud, consultez la documentation de votre fournisseur cloud sur la façon d'ajouter votre clé API Claude et de la partager avec votre application (AWS, GCP, Azure, Vercel, Heroku). Certains fournisseurs offrent plusieurs façons d'injecter de manière sécurisée des variables d'environnement dans votre application.

4. Rotation régulière des clés API

Faites régulièrement tourner vos clés API selon un calendrier cohérent (par exemple, tous les 90 jours) en créant de nouvelles clés et en désactivant les anciennes. Cette routine aide à minimiser les risques potentiels si une clé est jamais compromise.

5. Utiliser des clés distinctes pour différents usages

Si possible, utilisez différentes clés API pour les environnements de développement, de test et de production. De cette façon, vous pouvez corréler votre utilisation à différents cas d'usage internes. Si votre clé API est compromise, cela vous permet de désactiver rapidement juste ce cas d'usage et de limiter tout dommage potentiel.

6. Analyser les référentiels pour détecter les secrets

Vérifiez régulièrement vos référentiels de contrôle de source pour les secrets commis accidentellement.

En incorporant une analyse régulière des secrets dans votre flux de travail de développement, vous pouvez détecter et prévenir l'exposition accidentelle des clés API et d'autres informations sensibles dans vos référentiels de code.

7. Utiliser un système de gestion des clés sécurisé (KMS)

À mesure que les organisations se développent et que le nombre de clés API et d'autres secrets augmente, la gestion sécurisée de ces identifiants sensibles devient plus difficile. C'est là que les systèmes de gestion des clés (KMS) entrent en jeu. Un KMS fournit une solution centralisée pour stocker, accéder et gérer les clés secrètes, y compris les clés API.

Avantages de l'utilisation d'un KMS

  1. Sécurité centralisée : Stockez tous vos secrets dans un seul endroit sécurisé et chiffré.

  2. Contrôle d'accès : Implémentez des contrôles d'accès granulaires pour déterminer qui peut afficher ou utiliser des clés spécifiques.

  3. Pistes d'audit : Suivez tous les accès et modifications apportés à vos secrets à des fins de conformité et de sécurité.

  4. Rotation des clés : Faites facilement tourner les clés régulièrement pour améliorer la sécurité.

  5. Intégration : De nombreuses solutions KMS s'intègrent aux plateformes cloud populaires et aux outils de développement.

Partenariat d'Anthropic avec GitHub pour la protection des clés API

Anthropic s'est associé directement à GitHub pour fournir une couche de protection supplémentaire à nos utilisateurs grâce au programme partenaire d'analyse des secrets de GitHub. Ce partenariat offre des mesures de sécurité proactives pour prévenir l'abus de clés API accidentellement exposées :

  • GitHub analyse activement les référentiels publics pour détecter les clés API Claude exposées.

  • Si une clé API Claude est détectée dans un référentiel GitHub public, GitHub notifie immédiatement Anthropic.

  • Pour prévenir les abus potentiels, Anthropic désactive automatiquement la clé API exposée.

  • L'utilisateur affecté reçoit une notification par e-mail détaillée d'Anthropic concernant l'incident.

Que dois-je faire si je soupçonne que ma clé API a été compromise ?

Si vous soupçonnez que votre clé API peut être compromise, nous vous recommandons de révoquer la clé immédiatement. Vous pouvez le faire en vous connectant à votre compte Claude Console, en accédant à la page des clés API à partir de votre profil, en cliquant sur le menu boulette (c'est-à-dire les trois points horizontaux) à côté de la clé en question, et en sélectionnant « Supprimer la clé API ».

Consultez cet article pour plus d'informations : Que dois-je faire si je soupçonne que ma clé API a été compromise ?

La sécurité des clés API est un processus continu qui nécessite de la vigilance et un examen régulier de vos mesures de sécurité. En suivant ces meilleures pratiques, vous pouvez réduire considérablement le risque de fuites de clés API et d'accès non autorisé.

Articles connexes
Que dois-je faire si je soupçonne que ma clé API a été compromise ?
Gestion des variables d'environnement de clé API dans Claude Code
Claude Code - FAQ
Comment créer des Skills personnalisés
Création d'extensions de bureau avec MCPB
Avez-vous trouvé la réponse à votre question ?