OpenAI
Tato stránka byla přeložena strojově. Zobrazit původní článek v angličtině.

Osvědčené postupy pro bezpečnost API klíčů

Aktualizováno: 3 days ago

1. Vždy používejte jedinečný klíč API pro každého člena týmu ve svém účtu.

Klíč API je jedinečný kód, který identifikuje vaše požadavky na API. Váš klíč API je určen k tomu, abyste jej používali vy. Sdílení klíčů API je v rozporu s podmínkami používání.

Jakmile začnete experimentovat, možná budete chtít rozšířit přístup k API na svůj tým. OpenAI sdílení klíčů API nepodporuje. Pozvěte prosím nové členy do svého účtu ze stránky Členové a po přihlášení rychle obdrží svůj vlastní jedinečný klíč. Také můžete přiřadit oprávnění jednotlivým klíčům API.

2. Nikdy nenasazujte svůj klíč v klientských prostředích, jako jsou prohlížeče nebo mobilní aplikace.

Vystavení vašeho klíče API OpenAI v klientských prostředích, jako jsou prohlížeče nebo mobilní aplikace, umožňuje škodlivým uživatelům tento klíč převzít a odesílat požadavky vaším jménem – což může vést k neočekávaným poplatkům nebo kompromitaci některých údajů účtu. Požadavky by měly být vždy směrovány přes váš vlastní backendový server, kde můžete svůj klíč API udržet v bezpečí.

3. Nikdy neukládejte svůj klíč do úložiště

Uložení klíče API do zdrojového kódu je běžný způsob kompromitace přihlašovacích údajů. U veřejných úložišť jde o běžný způsob, jak můžete svůj klíč nevědomky sdílet s internetem. Soukromá úložiště jsou bezpečnější, ale únik dat může také vést k vyzrazení vašich klíčů. Z těchto důvodů důrazně doporučujeme používat proměnné prostředí jako proaktivní bezpečnostní opatření pro klíče.

4. Místo klíče API používejte proměnné prostředí

Proměnná prostředí je proměnná nastavená v operačním systému, nikoli ve vaší aplikaci. Skládá se z názvu a hodnoty. Doporučujeme nastavit název proměnné na OPENAI_API_KEY. Když bude tento název proměnné v celém týmu konzistentní, můžete ukládat a sdílet kód bez rizika odhalení klíče API.


Nastavení pro Windows

Možnost 1: Nastavte proměnnou prostředí „OPENAI_API_KEY“ pomocí příkazového řádku cmd

V příkazovém řádku cmd spusťte následující příkaz a nahraďte <yourkey> svým klíčem API:

setx OPENAI_API_KEY "<yourkey>"

Toto se projeví v budoucích oknech příkazového řádku cmd, takže pro použití této proměnné s curlem budete muset otevřít nové okno. Že byla tato proměnná nastavena, můžete ověřit otevřením nového okna příkazového řádku cmd a zadáním

echo %OPENAI_API_KEY%

Možnost 2: Nastavte proměnnou prostředí „OPENAI_API_KEY“ přes Ovládací panely

  1. Otevřete vlastnosti Systém a vyberte Upřesnit nastavení systému

Windows 10 System settings with Advanced system settings highlighted in Control Panel

  1. Vyberte Proměnné prostředí...

Windows System Properties Advanced tab with Environment Variables button highlighted

  1. Vyberte Nová… v části Uživatelské proměnné (nahoře). Přidejte dvojici název / hodnota klíče a nahraďte <yourkey> svým klíčem API.

Název proměnné: OPENAI_API_KEY
Hodnota proměnné: <yourkey>

Nastavení pro Linux / MacOS

Možnost 1: Nastavte proměnnou prostředí „OPENAI_API_KEY“ pomocí zsh

  1. Spusťte v terminálu následující příkaz a nahraďte yourkey svým klíčem API.

echo "export OPENAI_API_KEY='yourkey'" >> ~/.zshrc

  1. Aktualizujte shell novou proměnnou:

source ~/.zshrc

  1. Ověřte, že jste proměnnou prostředí nastavili, pomocí následujícího příkazu.

echo $OPENAI_API_KEY

Výsledným výstupem bude hodnota vašeho klíče API.


Možnost 2: Nastavte proměnnou prostředí „OPENAI_API_KEY“ pomocí bashe

Postupujte podle pokynů v možnosti 1 a nahraďte .zshrc souborem .bash_profile.

Máte hotovo! Nyní můžete na klíč odkazovat v curlu nebo jej načíst v Pythonu:

import os
import openai
 
openai.api_key = os.environ["OPENAI_API_KEY"]

5. Používejte službu správy klíčů

Pro bezpečnou správu tajných klíčů API je k dispozici řada produktů. Tyto nástroje vám umožňují řídit přístup ke klíčům a zlepšit celkové zabezpečení dat. V případě úniku dat z vaší aplikace by vaše klíče nebyly kompromitovány, protože by byly zašifrované a spravované na zcela samostatném místě.

Týmům, které nasazují své aplikace do produkce, doporučujeme zvážit některou z těchto služeb.

6. Sledujte využití účtu a podle potřeby klíče obměňujte

Kompromitovaný klíč API umožňuje jiné osobě získat přístup ke kvótě vašeho účtu bez vašeho souhlasu. To může vést ke ztrátě dat, neočekávaným poplatkům, vyčerpání měsíční kvóty a přerušení přístupu k API.

Využití vašeho týmu lze sledovat na stránce Využití. Pokud budete mít někdy obavy ze zneužití, můžete podniknout několik kroků k ochraně svého účtu:

  • Zkontrolujte své využití a ověřte, zda odpovídá práci vašeho týmu. U uživatelů patřících do více organizací (např. firemní a osobní) se ujistěte, že uživatel povolil sledování a nastavil svou výchozí organizaci pro využití a sledování.

  • Pokud se domníváte, že váš klíč unikl, okamžitě jej obměňte na stránce Klíče API. Zákazníci s aplikacemi v produkci budou muset odpovídajícím způsobem aktualizovat hodnoty svých klíčů.

  • Kontaktujte nás přes help.openai.com kvůli dalšímu prošetření.

7. Omezte přístup k API pomocí seznamu povolených IP adres

Seznam povolených IP adres vám umožňuje omezit, které IP adresy mohou přistupovat k vašemu OpenAI API. Když je tato funkce povolena, jsou povoleny pouze požadavky z nakonfigurovaných IP adres nebo rozsahů a všechny ostatní jsou odmítnuty – i když obsahují platný klíč API.

Tím přidáte další vrstvu ochrany, protože zajistíte, že k vašemu API bude možné přistupovat pouze z důvěryhodné infrastruktury, například z vašich backendových serverů nebo cloudového prostředí.

Další informace najdete v článku o seznamu povolených IP adres pro OpenAI API.

Byl tento článek užitečný?