As chaves de API permitem acesso à API Claude, mas podem representar riscos significativos de segurança se não forem gerenciadas adequadamente. Sua chave de API é uma chave digital para sua conta. Assim como um número de cartão de crédito, se alguém obtiver e usar sua chave de API, ele incorre em cobranças em seu nome. Este artigo descreve as melhores práticas para gerenciar chaves de API para garantir que permaneçam seguras e evitar acesso não autorizado e cobranças em sua conta Claude Console.
Riscos e Vulnerabilidades Comuns
Uma das causas mais frequentes de vazamento de chaves de API é a exposição acidental em repositórios de código público ou ferramentas de terceiros. Os desenvolvedores frequentemente confirmam inadvertidamente chaves de API em texto simples em repositórios públicos do GitHub ou as inserem em ferramentas de terceiros, o que pode levar a acesso não autorizado e possível abuso das contas associadas.
Melhores Práticas para Segurança de Chaves de API
1. Nunca compartilhe sua chave de API
Mantenha-a confidencial: Assim como você não compartilharia sua senha pessoal, não compartilhe sua chave de API. Se alguém precisar de acesso à API Claude, deve obter sua própria chave.
Não compartilhe sua chave em fóruns públicos: Não inclua sua chave de API em discussões públicas, e-mails ou tickets de suporte, nem mesmo entre você e a Anthropic.
Tenha cuidado com ferramentas de terceiros: Considere que quando você carrega sua chave de API em ferramentas ou plataformas de terceiros (como um IDE baseado na web, Provedor de Nuvem ou plataforma CI/CD), você está dando ao desenvolvedor dessa ferramenta acesso à sua conta Claude Console. Se você não confia em sua reputação, não confie neles com sua chave de API.
Ao usar um provedor de terceiros, sempre adicione sua chave de API como um segredo criptografado. Nunca a inclua diretamente em seu código ou arquivos de configuração.
2. Monitore o Uso e os Logs de Perto
Para organizações de API com Limite de Taxa Personalizado: Implemente limites de uso e gastos nas configurações de sua conta.
Esses limites atuam como uma proteção contra uso inesperado devido a chaves vazadas ou scripts incorretos.
Para organizações de API com Limite de Taxa Padrão: Ative e configure as configurações de recarga automática em sua conta.
Este recurso permite que você defina um limite no qual sua conta carregará automaticamente o cartão registrado para reabastecimento de créditos de uso.
Considere cuidadosamente os limites de recarga automática. Embora garantam serviço contínuo, também atuam como proteção contra uso inesperadamente alto que poderia resultar de chaves vazadas ou erros em seu código.
3. Manipulação Segura de Chaves de API com Variáveis de Ambiente e Segredos
Uma melhor prática para manipular com segurança chaves de API é usar variáveis de ambiente para injetar e compartilhar variáveis de ambiente com segurança. Quando você implanta sua aplicação em um ambiente de nuvem, você pode usar sua solução de gerenciamento de segredos para passar com segurança a chave de API para sua aplicação por meio de uma variável de ambiente sem compartilhar inadvertidamente sua chave de API.
Se você estiver armazenando segredos localmente usando dotenv, deve adicionar seus arquivos .env ao seu arquivo de ignorância de controle de origem (por exemplo, .gitignore para git) para evitar distribuir inadvertidamente informações sensíveis publicamente. Em ambientes de nuvem, prefira armazenamento de segredos criptografados em vez de arquivos dotenv.
Exemplo em Python:
1. Crie um arquivo .env no diretório do seu projeto.
2. Adicione sua chave de API ao arquivo .env:
ANTHROPIC_API_KEY=your-api-key-here
3. Instale o pacote python-dotenv:
pip install python-dotenv
4. Carregue a chave de API em seu script Python:
from dotenv import load_dotenv
import os
load_dotenv()
my_api_key = os.getenv("ANTHROPIC_API_KEY")
5. Se você estiver implantando sua aplicação em um ambiente de hospedagem em nuvem, consulte a documentação do seu provedor de nuvem sobre como adicionar sua Chave de API Claude e compartilhá-la com sua aplicação (AWS, GCP, Azure, Vercel, Heroku). Alguns provedores oferecem várias maneiras de injetar com segurança variáveis de ambiente em seu aplicativo.
4. Rotacione as Chaves de API Regularmente
Rotacione regularmente suas chaves de API em um cronograma consistente (por exemplo, a cada 90 dias) criando novas e desativando as antigas. Essa rotina ajuda a minimizar riscos potenciais se uma chave for comprometida.
5. Use chaves separadas para diferentes fins
Se possível, use diferentes chaves de API para ambientes de desenvolvimento, teste e produção. Dessa forma, você pode correlacionar seu uso a diferentes casos de uso internos. Se sua Chave de API for comprometida, isso permite que você desative rapidamente apenas esse caso de uso e limite qualquer dano potencial.
6. Digitalize Repositórios em Busca de Segredos
Verifique regularmente seus repositórios de controle de origem para segredos confirmados acidentalmente.
Use ferramentas SAST como Gitleaks (https://github.com/gitleaks/gitleaks) para digitalizar seus repositórios em busca de segredos confirmados acidentalmente.
Integre a digitalização de segredos em seu pipeline CI/CD para detectar qualquer segredo antes que sejam enviados para a ramificação principal.
Ao incorporar a digitalização regular de segredos em seu fluxo de trabalho de desenvolvimento, você pode detectar e evitar a exposição acidental de chaves de API e outras informações sensíveis em seus repositórios de código.
7. Use um Sistema Seguro de Gerenciamento de Chaves (KMS)
À medida que as organizações crescem e o número de chaves de API e outros segredos aumenta, gerenciar essas credenciais sensíveis com segurança se torna mais desafiador. É aqui que os Sistemas de Gerenciamento de Chaves (KMS) entram em jogo. Um KMS fornece uma solução centralizada para armazenar, acessar e gerenciar chaves secretas, incluindo chaves de API.
Benefícios do uso de um KMS
Segurança Centralizada: Armazene todos os seus segredos em um local seguro e criptografado.
Controle de Acesso: Implemente controles de acesso granulares para determinar quem pode visualizar ou usar chaves específicas.
Trilhas de Auditoria: Rastreie todo acesso e alterações em seus segredos para fins de conformidade e segurança.
Rotação de Chaves: Rotacione chaves facilmente em uma base regular para aprimorar a segurança.
Integração: Muitas soluções KMS se integram com plataformas de nuvem populares e ferramentas de desenvolvimento.
Parceria da Anthropic com o GitHub para Proteção de Chaves de API
A Anthropic fez uma parceria direta com o GitHub para fornecer uma camada extra de proteção para nossos usuários através do programa de parceiros de digitalização de segredos do GitHub. Esta parceria oferece medidas de segurança proativas para evitar o uso indevido de chaves de API expostas acidentalmente:
O GitHub digitaliza ativamente repositórios públicos em busca de chaves de API Claude expostas.
Se uma chave de API Claude for detectada em um repositório público do GitHub, o GitHub notifica imediatamente a Anthropic.
Para evitar possível abuso, a Anthropic desativa automaticamente a chave de API exposta.
O usuário afetado recebe uma notificação de e-mail detalhada da Anthropic sobre o incidente.
O que devo fazer se suspeitar que minha chave de API foi comprometida?
Se você suspeitar que sua chave de API pode ter sido comprometida, recomendamos revogar a chave imediatamente. Você pode fazer isso fazendo login em sua conta Claude Console, acessando a página de chaves de API em seu perfil, clicando no menu de três pontos (ou seja, os três pontos horizontais) ao lado da chave em questão e selecionando 'Deletar Chave de API'.
Consulte este artigo para mais informações: O que devo fazer se suspeitar que minha chave de API foi comprometida?
A segurança da chave de API é um processo contínuo que requer vigilância e revisão regular de suas medidas de segurança. Seguindo essas melhores práticas, você pode reduzir significativamente o risco de vazamento de chaves de API e acesso não autorizado.