Ключи API обеспечивают доступ к Claude API, но они могут представлять значительные риски безопасности, если не обращаться с ними надлежащим образом. Ваш ключ API — это цифровой ключ к вашей учетной записи. Подобно номеру кредитной карты, если кто-то получит и использует ваш ключ API, они будут нести расходы от вашего имени. В этой статье описаны лучшие практики управления ключами API, чтобы они оставались защищенными и предотвращали несанкционированный доступ и платежи на вашу учетную запись Claude Console.
Распространенные риски и уязвимости
Одной из наиболее частых причин утечки ключей API является случайное раскрытие в общедоступных репозиториях кода или сторонних инструментах. Разработчики часто случайно фиксируют ключи API в открытом виде в общедоступных репозиториях GitHub или вводят их в сторонние инструменты, что может привести к несанкционированному доступу и потенциальному злоупотреблению связанными учетными записями.
Лучшие практики безопасности ключей API
1. Никогда не делитесь своим ключом API
Держите его в конфиденциальности: Как вы не делились бы своим личным паролем, не делитесь своим ключом API. Если кому-то нужен доступ к Claude API, они должны получить свой собственный ключ.
Не делитесь своим ключом на общедоступных форумах: Не включайте свой ключ API в общедоступные обсуждения, электронные письма или билеты поддержки, даже между вами и Anthropic.
Будьте осторожны со сторонними инструментами: Учитывайте, что когда вы загружаете свой ключ API в сторонние инструменты или платформы (такие как веб-IDE, облачный провайдер или платформа CI/CD), вы предоставляете разработчику этого инструмента доступ к вашей учетной записи Claude Console. Если вы не доверяете их репутации, не доверяйте им свой ключ API.
При использовании стороннего провайдера всегда добавляйте свой ключ API как зашифрованный секрет. Никогда не включайте его непосредственно в свой код или файлы конфигурации.
2. Внимательно отслеживайте использование и логи
Мы рекомендуем регулярно проверять логи и закономерности использования для ваших ключей API в Console.
Для организаций API с пользовательским лимитом скорости: Установите лимиты использования и расходов в параметрах вашей учетной записи.
Эти лимиты служат защитой от неожиданного использования из-за утечки ключей или ошибочных скриптов.
Для организаций API со стандартным лимитом скорости: Включите и настройте параметры автоматической перезагрузки в вашей учетной записи.
Эта функция позволяет вам установить порог, при котором ваша учетная запись автоматически будет взимать плату с карты в файле для пополнения кредитов использования.
Тщательно рассмотрите лимиты автоматической перезагрузки. Хотя они обеспечивают непрерывное обслуживание, они также служат защитой от неожиданного высокого использования, которое может быть результатом утечки ключей или ошибок в вашем коде.
3. Безопасное обращение с ключами API с использованием переменных окружения и секретов
Лучшей практикой для безопасного обращения с ключами API является использование переменных окружения для безопасного внедрения и совместного использования переменных окружения. Когда вы развертываете свое приложение в облачной среде, вы можете использовать их решение для управления секретами, чтобы безопасно передать ключ API вашему приложению через переменную окружения без случайного раскрытия вашего ключа API.
Если вы храните секреты локально с помощью dotenv, вы должны добавить свои файлы .env в файл игнорирования системы управления версиями (например, .gitignore для git), чтобы предотвратить случайное распространение конфиденциальной информации в открытом доступе. В облачных средах предпочитайте зашифрованное хранилище секретов вместо файлов dotenv.
Пример на Python:
1. Создайте файл .env в каталоге вашего проекта.
2. Добавьте свой ключ API в файл .env:
ANTHROPIC_API_KEY=your-api-key-here
3. Установите пакет python-dotenv:
pip install python-dotenv
4. Загрузите ключ API в свой скрипт Python:
from dotenv import load_dotenv
import os
load_dotenv()
my_api_key = os.getenv("ANTHROPIC_API_KEY")
5. Если вы развертываете свое приложение в облачной среде хостинга, обратитесь к документации вашего облачного провайдера о том, как добавить свой ключ Claude API и поделиться им с вашим приложением (AWS, GCP, Azure, Vercel, Heroku). Некоторые провайдеры предлагают несколько способов безопасного внедрения переменных окружения в ваше приложение.
4. Регулярно ротируйте ключи API
Регулярно ротируйте свои ключи API по согласованному графику (например, каждые 90 дней), создавая новые и деактивируя старые. Эта процедура помогает минимизировать потенциальные риски, если ключ когда-либо будет скомпрометирован