Vai al contenuto principale

Procedure consigliate per le chiavi API: Mantenere le tue chiavi al sicuro e protette

Aggiornato questa settimana

Le chiavi API consentono l'accesso all'API Claude, ma possono comportare rischi di sicurezza significativi se non gestite correttamente. La tua chiave API è una chiave digitale del tuo account. Proprio come un numero di carta di credito, se qualcuno ottiene e utilizza la tua chiave API, sostiene addebiti a tuo nome. Questo articolo illustra le best practice per la gestione delle chiavi API per garantire che rimangano sicure e prevenire accessi non autorizzati e addebiti al tuo account Claude Console.

Rischi e vulnerabilità comuni

Una delle cause più frequenti di perdita di chiavi API è l'esposizione accidentale in repository di codice pubblici o strumenti di terze parti. Gli sviluppatori spesso commettono accidentalmente chiavi API in testo semplice in repository GitHub pubblici o le inseriscono in strumenti di terze parti, il che può portare ad accessi non autorizzati e potenziali abusi degli account associati.

Best practice per la sicurezza delle chiavi API

1. Non condividere mai la tua chiave API

  • Mantienila riservata: Proprio come non condivideresti la tua password personale, non condividere la tua chiave API. Se qualcuno ha bisogno di accesso all'API Claude, dovrebbe ottenere la propria chiave.

  • Non condividere la tua chiave in forum pubblici: Non includere la tua chiave API in discussioni pubbliche, email o ticket di supporto, nemmeno tra te e Anthropic.

  • Esercita cautela con strumenti di terze parti: Considera che quando carichi la tua chiave API su strumenti o piattaforme di terze parti (come un IDE basato su web, un Cloud Provider o una piattaforma CI/CD), stai dando allo sviluppatore di quello strumento accesso al tuo account Claude Console. Se non ti fidi della loro reputazione, non fidarti di loro con la tua chiave API.

    • Quando utilizzi un provider di terze parti, aggiungi sempre la tua chiave API come segreto crittografato. Non includerla mai direttamente nel tuo codice o nei file di configurazione.

2. Monitora l'utilizzo e i log da vicino

Ti consigliamo di rivedere regolarmente i log e i modelli di utilizzo per le tue chiavi API all'interno della Console.

  • Per le organizzazioni API con limite di velocità personalizzato: Implementa limiti di utilizzo e spesa nelle impostazioni del tuo account.

    • Questi limiti agiscono come salvaguardia contro utilizzi imprevisti dovuti a chiavi perse o script errati.

  • Per le organizzazioni API con limite di velocità standard: Abilita e configura le impostazioni di ricarica automatica nel tuo account.

    • Questa funzione ti consente di impostare una soglia alla quale il tuo account addebiterà automaticamente la carta in archivio per ricostituire i crediti di utilizzo.

      • Considera attentamente i limiti di ricarica automatica. Sebbene garantiscano un servizio continuo, agiscono anche come salvaguardia contro utilizzi imprevisti elevati che potrebbero derivare da chiavi perse o errori nel tuo codice.

3. Gestione sicura delle chiavi API con variabili di ambiente e segreti

Una best practice per gestire in modo sicuro le chiavi API è utilizzare variabili di ambiente per iniettare e condividere in modo sicuro le variabili di ambiente. Quando distribuisci la tua applicazione in un ambiente cloud, puoi utilizzare la loro soluzione di gestione dei segreti per passare in modo sicuro la chiave API alla tua applicazione tramite una variabile di ambiente senza condividere accidentalmente la tua chiave API.

Se stai archiviando i segreti localmente utilizzando dotenv, devi aggiungere i tuoi file .env al tuo file di controllo del codice sorgente (ad esempio, .gitignore per git) per evitare di distribuire accidentalmente informazioni sensibili pubblicamente. Negli ambienti cloud, preferisci l'archiviazione dei segreti crittografati invece dei file dotenv.

Esempio Python:

1. Crea un file .env nella directory del tuo progetto.

2. Aggiungi la tua chiave API al file .env:

ANTHROPIC_API_KEY=your-api-key-here

3. Installa il pacchetto python-dotenv:

pip install python-dotenv

4. Carica la chiave API nel tuo script Python:

from dotenv import load_dotenv

import os

load_dotenv()
my_api_key = os.getenv("ANTHROPIC_API_KEY")

5. Se stai distribuendo la tua applicazione in un ambiente di hosting cloud, consulta la documentazione del tuo provider cloud su come aggiungere la tua chiave API Claude e condividerla con la tua applicazione (AWS, GCP, Azure, Vercel, Heroku). Alcuni provider offrono più modi per iniettare in modo sicuro le variabili di ambiente nella tua app.

4. Ruota le chiavi API regolarmente

Ruota regolarmente le tue chiavi API secondo una pianificazione coerente (ad esempio, ogni 90 giorni) creando nuove chiavi e disattivando quelle vecchie. Questa routine aiuta a minimizzare i rischi potenziali se una chiave viene mai compromessa.

5. Utilizza chiavi separate per scopi diversi

Se possibile, utilizza chiavi API diverse per gli ambienti di sviluppo, test e produzione. In questo modo, puoi correlare il tuo utilizzo a diversi casi d'uso interni. Se la tua chiave API viene compromessa, questo ti consente di disabilitare rapidamente solo quel caso d'uso e limitare qualsiasi danno potenziale.

6. Scansiona i repository per i segreti

Controlla regolarmente i tuoi repository di controllo del codice sorgente per i segreti commessi accidentalmente.

Articoli correlati
Cosa devo fare se sospetto che la mia chiave API sia stata compromessa?
Utilizzo di Claude Code con il tuo piano Pro o Max
Creazione di Connettori Personalizzati tramite Server MCP Remoti
Gestione delle Variabili di Ambiente delle Chiavi API in Claude Code
Creazione di Estensioni Desktop con MCPB
Hai ricevuto la risposta alla tua domanda?