OpenAI
Cette page a été traduite automatiquement. Afficher l’article original en anglais.

Meilleures pratiques pour la sécurité des clés API

Mise à jour : 8 hours ago

1. Utilisez toujours une clé d’API unique pour chaque membre de l’équipe dans votre compte.

Une clé d’API est un code unique qui identifie vos requêtes auprès de l’API. Votre clé d’API est destinée à votre propre usage. Le partage de clés d’API est contraire aux conditions générales d’utilisation.

Lorsque vous commencez à faire des essais, vous pourriez vouloir étendre l’accès à l’API à votre équipe. OpenAI ne prend pas en charge le partage des clés d’API. Veuillez inviter de nouveaux membres dans votre compte à partir de la page Membres; ils recevront rapidement leur propre clé unique lors de la connexion. Vous pouvez également attribuer des autorisations à des clés d’API individuelles.

2. Ne déployez jamais votre clé dans des environnements côté client comme les navigateurs ou les applications mobiles.

Exposer votre clé d’API OpenAI dans des environnements côté client comme les navigateurs ou les applications mobiles permet à des utilisateurs malveillants de prendre cette clé et d’effectuer des requêtes en votre nom, ce qui peut entraîner des frais imprévus ou compromettre certaines données du compte. Les requêtes doivent toujours être acheminées par votre propre serveur dorsal, où vous pouvez garder votre clé d’API en sécurité.

3. Ne validez jamais votre clé dans votre dépôt

Valider une clé d’API dans le code source est un vecteur courant de compromission des identifiants. Pour les personnes qui ont des dépôts publics, c’est une façon courante de partager involontairement votre clé avec Internet. Les dépôts privés sont plus sûrs, mais une atteinte à la protection des données peut aussi entraîner la fuite de vos clés. Pour ces raisons, nous recommandons fortement d’utiliser des variables d’environnement comme mesure proactive de protection des clés.

4. Utiliser des variables d’environnement au lieu de votre clé d’API

Une variable d’environnement est une variable définie dans votre système d’exploitation plutôt que dans votre application. Elle se compose d’un nom et d’une valeur. Nous vous recommandons de définir le nom de la variable à OPENAI_API_KEY. En gardant ce nom de variable uniforme dans toute votre équipe, vous pouvez valider et partager votre code sans risque d’exposer votre clé d’API.


Configuration Windows

Option 1 : Définir votre variable d’environnement « OPENAI_API_KEY » à partir de l’invite de commandes cmd

Exécutez ce qui suit dans l’invite de commandes cmd, en remplaçant <yourkey> par votre clé d’API :

setx OPENAI_API_KEY "<yourkey>"

Cela s’appliquera aux futures fenêtres d’invite de commandes cmd; vous devrez donc en ouvrir une nouvelle pour utiliser cette variable avec curl. Vous pouvez vérifier que cette variable a été définie en ouvrant une nouvelle fenêtre d’invite de commandes cmd et en saisissant

echo %OPENAI_API_KEY%

Option 2 : Définir votre variable d’environnement « OPENAI_API_KEY » à partir du Panneau de configuration

  1. Ouvrez les propriétés Système et sélectionnez Paramètres système avancés

Windows 10 System settings with Advanced system settings highlighted in Control Panel

  1. Sélectionnez Variables d’environnement...

Windows System Properties Advanced tab with Environment Variables button highlighted

  1. Sélectionnez Nouveau… dans la section des variables utilisateur (en haut). Ajoutez votre paire nom/valeur de clé, en remplaçant <yourkey> par votre clé d’API.

Nom de la variable : OPENAI_API_KEY
Valeur de la variable : <yourkey>

Configuration Linux / macOS

Option 1 : Définir votre variable d’environnement « OPENAI_API_KEY » avec zsh

  1. Exécutez la commande suivante dans votre terminal, en remplaçant yourkey par votre clé d’API.

echo "export OPENAI_API_KEY='yourkey'" >> ~/.zshrc

  1. Mettez à jour le shell avec la nouvelle variable :

source ~/.zshrc

  1. Confirmez que vous avez défini votre variable d’environnement à l’aide de la commande suivante.

echo $OPENAI_API_KEY

La valeur de votre clé d’API sera le résultat affiché.


Option 2 : Définir votre variable d’environnement « OPENAI_API_KEY » avec bash

Suivez les instructions de l’option 1, en remplaçant .zshrc par .bash_profile.

Tout est prêt! Vous pouvez maintenant référencer la clé dans curl ou la charger dans votre Python :

import os
import openai
 
openai.api_key = os.environ["OPENAI_API_KEY"]

5. Utiliser un service de gestion des clés

Il existe une variété de produits permettant de gérer en toute sécurité les clés d’API secrètes. Ces outils vous permettent de contrôler l’accès à vos clés et d’améliorer la sécurité globale de vos données. En cas d’atteinte à la protection des données de votre application, vos clés ne seraient pas compromises, puisqu’elles seraient chiffrées et gérées dans un emplacement complètement distinct.

Pour les équipes qui déploient leurs applications en production, nous vous recommandons d’envisager l’un de ces services.

6. Surveiller l’utilisation de votre compte et effectuer la rotation de vos clés au besoin

Une clé d’API compromise permet à une personne d’accéder au quota de votre compte sans votre consentement. Cela peut entraîner une perte de données, des frais imprévus, l’épuisement de votre quota mensuel et une interruption de votre accès à l’API.

L’utilisation de vos équipes peut être suivie à partir de la page Utilisation. Si vous avez des préoccupations concernant une mauvaise utilisation, voici quelques mesures que vous pouvez prendre pour protéger votre compte :

  • Examinez votre utilisation pour voir si elle correspond au travail de votre équipe. Pour les utilisateurs qui appartiennent à plusieurs organisations (p. ex., professionnelle et personnelle), assurez-vous qu’ils ont activé le suivi et défini leur organisation par défaut pour l’utilisation et le suivi.

  • Si vous croyez que votre clé a été divulguée, effectuez immédiatement la rotation de votre clé à partir de la page Clés d’API. Pour les clients dont les applications sont en production, vous devrez mettre à jour les valeurs de vos clés en conséquence.

  • Communiquez avec nous à partir de help.openai.com pour une enquête plus approfondie.

7. Restreindre l’accès à l’API à l’aide d’une liste d’adresses IP autorisées

La liste d’adresses IP autorisées vous permet de restreindre les adresses IP qui peuvent accéder à votre API OpenAI. Lorsqu’elle est activée, seules les requêtes provenant d’adresses ou de plages IP configurées sont autorisées, et toutes les autres sont rejetées, même si elles incluent une clé d’API valide.

Cela ajoute une couche de protection supplémentaire en garantissant que votre API n’est accessible qu’à partir d’une infrastructure fiable, comme vos serveurs dorsaux ou votre environnement infonuagique.

Pour en savoir plus, consultez l’article sur les listes d’adresses IP autorisées pour l’API OpenAI.

Cet article vous a-t-il été utile?