Le chiavi API consentono l'accesso all'API Claude, ma possono comportare rischi di sicurezza significativi se non gestite correttamente. La tua chiave API è una chiave digitale del tuo account. Proprio come un numero di carta di credito, se qualcuno ottiene e utilizza la tua chiave API, sostiene addebiti a tuo nome. Questo articolo illustra le best practice per la gestione delle chiavi API per garantire che rimangano sicure e prevenire accessi non autorizzati e addebiti al tuo account Claude Console.
Rischi e vulnerabilità comuni
Una delle cause più frequenti di perdite di chiavi API è l'esposizione accidentale in repository di codice pubblici o strumenti di terze parti. Gli sviluppatori spesso commettono accidentalmente chiavi API in testo semplice in repository GitHub pubblici o le inseriscono in strumenti di terze parti, il che può portare ad accessi non autorizzati e potenziali abusi degli account associati.
Best practice per la sicurezza delle chiavi API
1. Non condividere mai la tua chiave API
Mantienila riservata: Proprio come non condivideresti la tua password personale, non condividere la tua chiave API. Se qualcuno ha bisogno di accesso all'API Claude, dovrebbe ottenere la propria chiave.
Non condividere la tua chiave in forum pubblici: Non includere la tua chiave API in discussioni pubbliche, email o ticket di supporto, nemmeno tra te e Anthropic.
Esercita cautela con strumenti di terze parti: Considera che quando carichi la tua chiave API su strumenti o piattaforme di terze parti (come un IDE basato su web, un Cloud Provider o una piattaforma CI/CD), stai dando allo sviluppatore di quello strumento accesso al tuo account Claude Console. Se non ti fidi della loro reputazione, non fidarti di loro con la tua chiave API.
Quando utilizzi un provider di terze parti, aggiungi sempre la tua chiave API come segreto crittografato. Non includerla mai direttamente nel tuo codice o nei file di configurazione.
2. Monitora l'utilizzo e i log da vicino
Ti consigliamo di rivedere regolarmente i log e i modelli di utilizzo per le tue chiavi API all'interno della Console.
Per le organizzazioni API con limite di velocità personalizzato: Implementa limiti di utilizzo e spesa nelle impostazioni del tuo account.
Questi limiti agiscono come salvaguardia contro utilizzi imprevisti dovuti a chiavi perse o script errati.
Per le organizzazioni API con limite di velocità standard: Abilita e configura le impostazioni di ricarica automatica nel tuo account.
Questa funzione ti consente di impostare una soglia alla quale il tuo account addebiterà automaticamente la carta in archivio per ricostituire i crediti di utilizzo.
Considera attentamente i limiti di ricarica automatica. Sebbene garantiscano un servizio continuo, agiscono anche come salvaguardia contro utilizzi imprevisti elevati che potrebbero derivare da chiavi perse o errori nel tuo codice.
3. Gestione sicura delle chiavi API con variabili di ambiente e segreti
Una best practice per gestire in modo sicuro le chiavi API è utilizzare variabili di ambiente per iniettare e condividere in modo sicuro le variabili di ambiente. Quando distribuisci la tua applicazione in un ambiente cloud, puoi utilizzare la loro soluzione di gestione dei segreti per passare in modo sicuro la chiave API alla tua applicazione tramite una variabile di ambiente senza condividere accidentalmente la tua chiave API.
Se stai archiviando i segreti localmente utilizzando dotenv, devi aggiungere i tuoi file .env al tuo file di controllo del codice sorgente (ad esempio, .gitignore per git) per evitare di distribuire accidentalmente informazioni sensibili pubblicamente. Negli ambienti cloud, preferisci l'archiviazione dei segreti crittografati invece dei file dotenv.
Esempio Python:
1. Crea un file .env nella directory del tuo progetto.
2. Aggiungi la tua chiave API al file .env:
ANTHROPIC_API_KEY=your-api-key-here
3. Installa il pacchetto python-dotenv:
pip install python-dotenv
4. Carica la chiave API nel tuo script Python:
from dotenv import load_dotenv
import os
load_dotenv()
my_api_key = os.getenv("ANTHROPIC_API_KEY")
5. Se stai distribuendo la tua applicazione in un ambiente di hosting cloud, consulta la documentazione del tuo provider cloud su come aggiungere la tua chiave API Claude e condividerla con la tua applicazione (AWS, GCP, Azure, Vercel, Heroku). Alcuni provider offrono più modi per iniettare in modo sicuro le variabili di ambiente nella tua app.
4. Ruota le chiavi API regolarmente
Ruota regolarmente le tue chiavi API secondo una pianificazione coerente (ad esempio, ogni 90 giorni) creando nuove chiavi e disattivando quelle vecchie. Questa routine aiuta a minimizzare i rischi potenziali se una chiave viene mai compromessa.
5. Utilizza chiavi separate per scopi diversi
Se possibile, utilizza chiavi API diverse per gli ambienti di sviluppo, test e produzione. In questo modo, puoi correlare il tuo utilizzo a diversi casi d'uso interni. Se la tua chiave API viene compromessa, questo ti consente di disabilitare rapidamente solo quel caso d'uso e limitare qualsiasi danno potenziale.
6. Scansiona i repository per i segreti
Controlla regolarmente i tuoi repository di controllo del codice sorgente per i segreti commessi accidentalmente.
Utilizza strumenti SAST come Gitleaks (https://github.com/gitleaks/gitleaks) per scansionare i tuoi repository per i segreti commessi accidentalmente.
Integra la scansione dei segreti nella tua pipeline CI/CD per catturare eventuali segreti prima che vengano inviati al ramo principale.
Incorporando la scansione regolare dei segreti nel tuo flusso di lavoro di sviluppo, puoi catturare e prevenire l'esposizione accidentale di chiavi API e altre informazioni sensibili nei tuoi repository di codice.
7. Utilizza un sistema di gestione delle chiavi sicuro (KMS)
Man mano che le organizzazioni si espandono e il numero di chiavi API e altri segreti aumenta, la gestione sicura di queste credenziali sensibili diventa più impegnativa. È qui che entrano in gioco i sistemi di gestione delle chiavi (KMS). Un KMS fornisce una soluzione centralizzata per archiviare, accedere e gestire chiavi segrete, incluse le chiavi API.
Vantaggi dell'utilizzo di un KMS
Sicurezza centralizzata: Archivia tutti i tuoi segreti in un'unica posizione sicura e crittografata.
Controllo dell'accesso: Implementa controlli di accesso granulari per determinare chi può visualizzare o utilizzare chiavi specifiche.
Audit trail: Traccia tutti gli accessi e le modifiche ai tuoi segreti per scopi di conformità e sicurezza.
Rotazione delle chiavi: Ruota facilmente le chiavi su base regolare per migliorare la sicurezza.
Integrazione: Molte soluzioni KMS si integrano con piattaforme cloud e strumenti di sviluppo popolari.
Partnership di Anthropic con GitHub per la protezione delle chiavi API
Anthropic ha stretto una partnership diretta con GitHub per fornire un ulteriore livello di protezione ai nostri utenti attraverso il programma partner di scansione dei segreti di GitHub. Questa partnership offre misure di sicurezza proattive per prevenire l'uso improprio di chiavi API accidentalmente esposte:
GitHub scansiona attivamente i repository pubblici per le chiavi API Claude esposte.
Se una chiave API Claude viene rilevata in un repository GitHub pubblico, GitHub notifica immediatamente Anthropic.
Per prevenire potenziali abusi, Anthropic disattiva automaticamente la chiave API esposta.
L'utente interessato riceve una notifica email dettagliata da Anthropic sull'incidente.
Cosa devo fare se sospetto che la mia chiave API sia stata compromessa?
Se sospetti che la tua chiave API possa essere compromessa, ti consigliamo di revocare la chiave immediatamente. Puoi farlo accedendo al tuo account Claude Console, andando alla pagina delle chiavi API dal tuo profilo, facendo clic sul menu polpettone (cioè i tre punti orizzontali) accanto alla chiave in questione e selezionando "Elimina chiave API".
Consulta questo articolo per ulteriori informazioni: Cosa devo fare se sospetto che la mia chiave API sia stata compromessa?
La sicurezza delle chiavi API è un processo continuo che richiede vigilanza e revisione regolare delle tue misure di sicurezza. Seguendo queste best practice, puoi ridurre significativamente il rischio di perdite di chiavi API e accessi non autorizzati.