1. Brug altid en unik API-nøgle til hvert teammedlem på din konto.
En API-nøgle er en unik kode, der identificerer dine anmodninger til API'en. Din API-nøgle er beregnet til at blive brugt af dig. Deling af API-nøgler er i strid med vilkår for brug.
Når du begynder at eksperimentere, vil du måske udvide API-adgangen til dit team. OpenAI understøtter ikke deling af API-nøgler. Inviter nye medlemmer til din konto fra siden Medlemmer, så modtager de hurtigt deres egen unikke nøgle, når de logger ind. Du kan også tildele tilladelser til individuelle API-nøgler.
2. Udrul aldrig din nøgle i miljøer på klientsiden som browsere eller mobilapps.
Hvis din OpenAI API-nøgle eksponeres i miljøer på klientsiden som browsere eller mobilapps, kan ondsindede brugere tage nøglen og foretage anmodninger på dine vegne – hvilket kan føre til uventede opkrævninger eller kompromittering af visse kontodata. Anmodninger bør altid dirigeres via din egen backend-server, hvor du kan holde din API-nøgle sikker.
3. Commit aldrig din nøgle til dit lager
At committe en API-nøgle til kildekode er en almindelig vej til kompromittering af legitimationsoplysninger. For dem med offentlige lagre er dette en almindelig måde, hvorpå du uforvarende kan dele din nøgle med internettet. Private lagre er mere sikre, men et databrud kan også medføre, at dine nøgler lækkes. Af disse årsager anbefaler vi på det kraftigste at bruge miljøvariabler som en proaktiv sikkerhedsforanstaltning for nøgler.
4. Brug miljøvariabler i stedet for din API-nøgle
En miljøvariabel er en variabel, der angives i dit operativsystem i stedet for i din applikation. Den består af et navn og en værdi. Vi anbefaler, at du angiver variablens navn til OPENAI_API_KEY. Ved at holde dette variabelnavn ens på tværs af dit team kan du committe og dele din kode uden risiko for at eksponere din API-nøgle.
Windows-opsætning
Mulighed 1: Angiv miljøvariablen ‘OPENAI_API_KEY’ via cmd-prompten
Kør følgende i cmd-prompten, og erstat <yourkey> med din API-nøgle:
setx OPENAI_API_KEY "<yourkey>"Dette gælder for fremtidige cmd-promptvinduer, så du skal åbne et nyt for at bruge variablen med curl. Du kan kontrollere, at denne variabel er angivet, ved at åbne et nyt cmd-promptvindue og skrive
echo %OPENAI_API_KEY%Mulighed 2: Angiv miljøvariablen ‘OPENAI_API_KEY’ via Kontrolpanel
Åbn egenskaber for System, og vælg Avancerede systemindstillinger
Vælg Miljøvariabler...
Vælg Ny… i sektionen Brugervariabler (øverst). Tilføj dit navn/nøgle-værdipar, og erstat <yourkey> med din API-nøgle.
Variabelnavn: OPENAI_API_KEY
Variabelværdi: <yourkey>Linux-/MacOS-opsætning
Mulighed 1: Angiv miljøvariablen ‘OPENAI_API_KEY’ med zsh
Kør følgende kommando i din terminal, og erstat yourkey med din API-nøgle.
echo "export OPENAI_API_KEY='yourkey'" >> ~/.zshrcOpdater shellen med den nye variabel:
source ~/.zshrcBekræft, at du har angivet din miljøvariabel, med følgende kommando.
echo $OPENAI_API_KEYVærdien af din API-nøgle vil være det resulterende output.
Mulighed 2: Angiv miljøvariablen ‘OPENAI_API_KEY’ med bash
Følg vejledningen i mulighed 1, men erstat .zshrc med .bash_profile.
Så er du klar! Du kan nu henvise til nøglen i curl eller indlæse den i din Python:
import os
import openai
openai.api_key = os.environ["OPENAI_API_KEY"]5. Brug en nøgleadministrationstjeneste
Der findes en række produkter til sikker administration af hemmelige API-nøgler. Disse værktøjer giver dig mulighed for at styre adgangen til dine nøgler og forbedre din overordnede datasikkerhed. I tilfælde af et databrud i din applikation vil dine nøgler ikke blive kompromitteret, da de vil være krypteret og administreret på et helt separat sted.
For teams, der udruller deres applikationer i produktion, anbefaler vi, at I overvejer en af disse tjenester.
6. Overvåg dit kontoforbrug, og roter dine nøgler efter behov
En kompromitteret API-nøgle giver en person adgang til din kontokvote uden dit samtykke. Dette kan resultere i datatab, uventede opkrævninger, opbrugning af din månedlige kvote og afbrydelse af din API-adgang.
Dit teams forbrug kan spores via siden Forbrug. Hvis du nogensinde er bekymret for misbrug, er der et par ting, du kan gøre for at beskytte din konto:
Gennemgå dit forbrug for at se, om det stemmer overens med dit teams arbejde. For brugere, der tilhører flere organisationer (f.eks. virksomhed og privat), skal du sikre dig, at brugeren har aktiveret sporing og angivet sin standardorganisation for forbrug og sporing.
Hvis du mener, at din nøgle er blevet lækket, skal du straks rotere din nøgle fra siden API-nøgler. For kunder med applikationer i produktion skal du opdatere dine nøgleværdier tilsvarende.
Kontakt os via help.openai.com for yderligere undersøgelse.
7. Begræns API-adgang med IP-allowlisting
IP-allowlisting giver dig mulighed for at begrænse, hvilke IP-adresser der kan få adgang til din OpenAI API. Når det er aktiveret, tillades kun anmodninger fra konfigurerede IP-adresser eller -intervaller, og alle andre afvises – også selvom de indeholder en gyldig API-nøgle.
Dette tilføjer et ekstra beskyttelseslag ved at sikre, at din API kun kan tilgås fra pålidelig infrastruktur, såsom dine backend-servere eller dit cloudmiljø.
Du kan få flere oplysninger i artiklen om IP-allowlisting for OpenAI API.
