Kunci API memungkinkan akses ke Claude API, tetapi dapat menimbulkan risiko keamanan yang signifikan jika tidak ditangani dengan benar. Kunci API Anda adalah kunci digital ke akun Anda. Seperti nomor kartu kredit, jika seseorang memperoleh dan menggunakan kunci API Anda, mereka akan menimbulkan biaya atas nama Anda. Artikel ini menguraikan praktik terbaik untuk mengelola kunci API agar tetap aman dan mencegah akses tidak sah serta biaya ke akun Claude Console Anda.
Risiko dan Kerentanan Umum
Salah satu penyebab paling sering dari kebocoran kunci API adalah paparan tidak sengaja di repositori kode publik atau alat pihak ketiga. Pengembang sering kali secara tidak sengaja melakukan komit kunci API teks biasa ke repositori GitHub publik atau memasukkannya ke alat pihak ketiga, yang dapat menyebabkan akses tidak sah dan potensi penyalahgunaan akun terkait.
Praktik Terbaik untuk Keamanan Kunci API
1. Jangan bagikan kunci API Anda
Jaga kerahasiaannya: Seperti halnya Anda tidak akan membagikan kata sandi pribadi Anda, jangan bagikan kunci API Anda. Jika seseorang membutuhkan akses ke Claude API, mereka harus mendapatkan kunci mereka sendiri.
Jangan bagikan kunci Anda di forum publik: Jangan sertakan kunci API Anda dalam diskusi publik, email, atau tiket dukungan, bahkan antara Anda dan Anthropic.
Berhati-hatilah dengan alat pihak ketiga: Pertimbangkan bahwa ketika Anda mengunggah kunci API Anda ke alat atau platform pihak ketiga (seperti IDE berbasis web, Penyedia Cloud, atau platform CI/CD), Anda memberikan pengembang alat tersebut akses ke akun Claude Console Anda. Jika Anda tidak mempercayai reputasi mereka, jangan percayakan kunci API Anda kepada mereka.
Saat menggunakan penyedia pihak ketiga, selalu tambahkan kunci API Anda sebagai rahasia terenkripsi. Jangan pernah sertakan secara langsung dalam kode atau file konfigurasi Anda.
2. Pantau Penggunaan dan Log dengan Cermat
Kami merekomendasikan untuk secara teratur meninjau log dan pola penggunaan untuk kunci API Anda dalam Konsol.
Untuk organisasi API Batas Laju Kustom: Terapkan batas penggunaan dan pengeluaran di pengaturan akun Anda.
Batas-batas ini bertindak sebagai perlindungan terhadap penggunaan yang tidak terduga karena kunci yang bocor atau skrip yang salah.
Untuk organisasi API Batas Laju Standar: Aktifkan dan konfigurasikan pengaturan muat ulang otomatis di akun Anda.
Fitur ini memungkinkan Anda menetapkan ambang batas di mana akun Anda akan secara otomatis menagih kartu yang terdaftar untuk mengisi ulang kredit penggunaan.
Pertimbangkan dengan cermat batas muat ulang otomatis. Meskipun mereka memastikan layanan berkelanjutan, mereka juga bertindak sebagai perlindungan terhadap penggunaan tinggi yang tidak terduga yang dapat diakibatkan oleh kunci yang bocor atau kesalahan dalam kode Anda.
3. Menangani Kunci API dengan Aman dengan Variabel Lingkungan dan Rahasia
Praktik terbaik untuk menangani kunci API dengan aman adalah menggunakan variabel lingkungan untuk secara aman menyuntikkan dan berbagi variabel lingkungan. Ketika Anda menerapkan aplikasi Anda ke lingkungan cloud, Anda dapat menggunakan solusi manajemen rahasia mereka untuk secara aman meneruskan kunci API ke aplikasi Anda melalui variabel lingkungan tanpa secara tidak sengaja membagikan kunci API Anda.
Jika Anda menyimpan rahasia secara lokal menggunakan dotenv, Anda harus menambahkan file .env Anda ke file pengabaian kontrol sumber Anda (misalnya, .gitignore untuk git) untuk mencegah distribusi informasi sensitif secara tidak sengaja ke publik. Di lingkungan cloud, lebih suka penyimpanan rahasia terenkripsi daripada file dotenv.
Contoh Python:
1. Buat file .env di direktori proyek Anda.
2. Tambahkan kunci API Anda ke file .env:
ANTHROPIC_API_KEY=your-api-key-here
3. Instal paket python-dotenv:
pip install python-dotenv
4. Muat kunci API dalam skrip Python Anda:
from dotenv import load_dotenv
import os
load_dotenv()
my_api_key = os.getenv("ANTHROPIC_API_KEY")
5. Jika Anda menerapkan aplikasi Anda ke lingkungan hosting cloud, lihat dokumentasi penyedia cloud Anda tentang cara menambahkan Kunci Claude API Anda dan membagikannya dengan aplikasi Anda (AWS, GCP, Azure, Vercel, Heroku). Beberapa penyedia menawarkan berbagai cara untuk secara aman menyuntikkan variabel lingkungan ke dalam aplikasi Anda.
4. Rotasi Kunci API Secara Teratur
Rotasi kunci API Anda secara teratur sesuai jadwal yang konsisten (misalnya, setiap 90 hari) dengan membuat yang baru dan menonaktifkan yang lama. Rutinitas ini membantu meminimalkan risiko potensial jika kunci pernah dikompromikan.
5. Gunakan kunci terpisah untuk tujuan yang berbeda
Jika memungkinkan, gunakan kunci API yang berbeda untuk lingkungan pengembangan, pengujian, dan produksi. Dengan cara ini, Anda dapat menghubungkan penggunaan Anda dengan kasus penggunaan internal yang berbeda. Jika Kunci API Anda dikompromikan, ini memungkinkan Anda untuk dengan cepat menonaktifkan hanya kasus penggunaan itu dan membatasi potensi kerusakan.
6. Pindai Repositori untuk Rahasia
Secara teratur periksa repositori kontrol sumber Anda untuk rahasia yang secara tidak sengaja dilakukan.
Gunakan alat SAST seperti Gitleaks (https://github.com/gitleaks/gitleaks) untuk memindai repositori Anda untuk rahasia yang secara tidak sengaja dilakukan.
Integrasikan pemindaian rahasia ke dalam pipeline CI/CD Anda untuk menangkap rahasia apa pun sebelum didorong ke cabang utama.
Dengan menggabungkan pemindaian rahasia reguler ke dalam alur kerja pengembangan Anda, Anda dapat menangkap dan mencegah paparan tidak sengaja dari kunci API dan informasi sensitif lainnya di repositori kode Anda.
7. Gunakan Sistem Manajemen Kunci Aman (KMS)
Seiring organisasi berkembang dan jumlah kunci API dan rahasia lainnya meningkat, mengelola kredensial sensitif ini dengan aman menjadi lebih menantang. Di sinilah Sistem Manajemen Kunci (KMS) berperan. KMS menyediakan solusi terpusat untuk menyimpan, mengakses, dan mengelola kunci rahasia, termasuk kunci API.
Manfaat menggunakan KMS
Keamanan Terpusat: Simpan semua rahasia Anda di satu lokasi yang aman dan terenkripsi.
Kontrol Akses: Terapkan kontrol akses terperinci untuk menentukan siapa yang dapat melihat atau menggunakan kunci tertentu.
Jejak Audit: Lacak semua akses dan perubahan pada rahasia Anda untuk tujuan kepatuhan dan keamanan.
Rotasi Kunci: Rotasi kunci dengan mudah secara teratur untuk meningkatkan keamanan.
Integrasi: Banyak solusi KMS terintegrasi dengan platform cloud dan alat pengembangan populer.
Kemitraan Anthropic dengan GitHub untuk Perlindungan Kunci API
Anthropic telah bermitra langsung dengan GitHub untuk memberikan lapisan perlindungan tambahan bagi pengguna kami melalui program mitra pemindaian rahasia GitHub. Kemitraan ini menawarkan langkah-langkah keamanan proaktif untuk mencegah penyalahgunaan kunci API yang secara tidak sengaja terekspos:
GitHub secara aktif memindai repositori publik untuk kunci Claude API yang terekspos.
Jika kunci Claude API terdeteksi di repositori GitHub publik, GitHub segera memberi tahu Anthropic.
Untuk mencegah potensi penyalahgunaan, Anthropic secara otomatis menonaktifkan kunci API yang terekspos.
Pengguna yang terkena dampak menerima notifikasi email terperinci dari Anthropic tentang insiden tersebut.
Apa yang harus saya lakukan jika saya mencurigai kunci API saya telah dikompromikan?
Jika Anda mencurigai bahwa kunci API Anda mungkin telah dikompromikan, kami merekomendasikan untuk segera mencabut kunci tersebut. Anda dapat melakukannya dengan masuk ke akun Claude Console Anda, membuka halaman kunci API dari profil Anda, mengklik menu bola daging (yaitu tiga titik horizontal) di sebelah kunci yang dimaksud, dan memilih 'Hapus Kunci API.'
Lihat artikel ini untuk informasi lebih lanjut: Apa yang harus saya lakukan jika saya mencurigai kunci API saya telah dikompromikan?
Keamanan kunci API adalah proses berkelanjutan yang memerlukan kewaspadaan dan tinjauan rutin terhadap langkah-langkah keamanan Anda. Dengan mengikuti praktik terbaik ini, Anda dapat secara signifikan mengurangi risiko kebocoran kunci API dan akses tidak sah.