OpenAI
Tato stránka byla přeložena strojově. Zobrazit původní článek v angličtině.

Osvědčené postupy pro bezpečnost API klíčů

Aktualizováno: 2 days ago

1. Pro každého člena týmu ve svém účtu vždy používejte jedinečný API klíč.

API klíč je jedinečný kód, který identifikuje vaše požadavky vůči API. Váš API klíč je určen k používání pouze vámi. Sdílení API klíčů je v rozporu s podmínkami používání.

Když začnete experimentovat, možná budete chtít rozšířit přístup k API na svůj tým. OpenAI nepodporuje sdílení API klíčů. Pozvěte prosím nové členy do svého účtu ze stránky Členové a po přihlášení rychle obdrží svůj vlastní jedinečný klíč. Jednotlivým API klíčům můžete také přiřadit oprávnění.

2. Nikdy nenasazujte svůj klíč do klientských prostředí, jako jsou prohlížeče nebo mobilní aplikace.

Vystavení vašeho OpenAI API klíče v klientských prostředích, jako jsou prohlížeče nebo mobilní aplikace, umožňuje škodlivým uživatelům tento klíč převzít a odesílat požadavky vaším jménem – což může vést k neočekávaným poplatkům nebo kompromitaci určitých dat účtu. Požadavky by měly být vždy směrovány přes váš vlastní backendový server, kde můžete svůj API klíč udržet v bezpečí.

3. Nikdy necommitujte svůj klíč do svého úložiště

Commitnutí API klíče do zdrojového kódu je běžným vektorem kompromitace přihlašovacích údajů. U veřejných úložišť je to častý způsob, jak můžete nevědomky sdílet svůj klíč s internetem. Soukromá úložiště jsou bezpečnější, ale únik dat může také vést k prozrazení vašich klíčů. Z těchto důvodů důrazně doporučujeme používat proměnné prostředí jako proaktivní opatření pro bezpečnost klíčů.

4. Místo API klíče používejte proměnné prostředí

Proměnná prostředí je proměnná nastavená v operačním systému, nikoli uvnitř vaší aplikace. Skládá se z názvu a hodnoty. Doporučujeme nastavit název proměnné na OPENAI_API_KEY. Když tento název proměnné zachováte konzistentní v celém týmu, můžete commitovat a sdílet svůj kód bez rizika vystavení API klíče.

Nastavení ve Windows

Možnost 1: Nastavte proměnnou prostředí „OPENAI_API_KEY“ pomocí příkazového řádku cmd

V příkazovém řádku cmd spusťte následující příkaz a nahraďte <yourkey> svým API klíčem:

setx OPENAI_API_KEY "<yourkey>"

Toto se projeví v budoucích oknech příkazového řádku cmd, takže pro použití této proměnné s curl budete muset otevřít nové okno. Ověřit, že byla tato proměnná nastavena, můžete tak, že otevřete nové okno příkazového řádku cmd a zadáte 

echo %OPENAI_API_KEY%

Možnost 2: Nastavte proměnnou prostředí „OPENAI_API_KEY“ přes Ovládací panely

1. Otevřete vlastnosti Systém a vyberte Upřesnit nastavení systému

Windows 10 System settings with Advanced system settings highlighted in Control Panel

2. Vyberte Proměnné prostředí...

Windows System Properties Advanced tab with Environment Variables button highlighted

3. V části Uživatelské proměnné (nahoře) vyberte Nový… . Přidejte dvojici název/hodnota klíče a nahraďte <yourkey> svým API klíčem.

Název proměnné: OPENAI_API_KEY
Hodnota proměnné: <yourkey>

Nastavení Linux / macOS

Možnost 1: Nastavte proměnnou prostředí „OPENAI_API_KEY“ pomocí zsh

1. Spusťte v terminálu následující příkaz a nahraďte yourkey svým API klíčem. 

echo "export OPENAI_API_KEY='yourkey'" >> ~/.zshrc

2. Aktualizujte shell novou proměnnou:

source ~/.zshrc

3. Potvrďte, že jste proměnnou prostředí nastavili, pomocí následujícího příkazu. 

echo $OPENAI_API_KEY

Výsledkem bude hodnota vašeho API klíče.

Možnost 2: Nastavte proměnnou prostředí „OPENAI_API_KEY“ pomocí bash

Postupujte podle pokynů v možnosti 1 a nahraďte .zshrc za .bash_profile.

Hotovo! Nyní můžete na klíč odkazovat v curl nebo ho načíst v Pythonu:

import os
import openai
 
openai.api_key = os.environ["OPENAI_API_KEY"]

5. Používejte službu pro správu klíčů

K dispozici je řada produktů pro bezpečnou správu tajných API klíčů. Tyto nástroje vám umožňují řídit přístup ke klíčům a zlepšit celkové zabezpečení dat. V případě úniku dat z vaší aplikace by vaše klíče nebyly kompromitovány, protože by byly šifrovány a spravovány ve zcela odděleném umístění.

Týmům, které nasazují své aplikace do produkce, doporučujeme zvážit některou z těchto služeb.

6. Sledujte využití svého účtu a podle potřeby klíče obměňujte

Kompromitovaný API klíč umožňuje osobě získat přístup ke kvótě vašeho účtu bez vašeho souhlasu. To může vést ke ztrátě dat, neočekávaným poplatkům, vyčerpání měsíční kvóty a přerušení vašeho přístupu k API.

Využití vašeho týmu lze sledovat na stránce Využití. Pokud budete mít někdy obavy ze zneužití, můžete svůj účet chránit několika kroky:

  • Zkontrolujte své využití a ověřte, zda odpovídá práci vašeho týmu. U uživatelů patřících do více organizací (např. firemní a osobní) se ujistěte, že mají zapnuté sledování a nastavenou výchozí organizaci pro využití a sledování.

  • Pokud se domníváte, že váš klíč unikl, ihned jej obměňte na stránce API klíče. U zákazníků s aplikacemi v produkci bude nutné odpovídajícím způsobem aktualizovat hodnoty klíčů.

  • Pro další prošetření nás kontaktujte prostřednictvím help.openai.com.

7. Omezte přístup k API pomocí povolených IP adres

Povolený seznam IP adres vám umožňuje omezit, které IP adresy mohou přistupovat k vašemu OpenAI API. Když je tato funkce povolena, jsou povoleny pouze požadavky z nakonfigurovaných IP adres nebo rozsahů a všechny ostatní jsou odmítnuty — i když obsahují platný API klíč.

Tím se přidává další vrstva ochrany, která zajišťuje, že k vašemu API lze přistupovat pouze z důvěryhodné infrastruktury, jako jsou vaše backendové servery nebo cloudové prostředí.

Další informace najdete v článku Povolený seznam IP adres pro OpenAI API.

Byl tento článek užitečný?