OpenAI
Cette page a été traduite automatiquement. Afficher l’article original en anglais.

Meilleures pratiques pour la sécurité des clés API

Mise à jour : 2 days ago

1. Utilisez toujours une clé API unique pour chaque membre de l’équipe sur votre compte.

Une clé API est un code unique qui identifie vos requêtes à l’API. Votre clé API est destinée à être utilisée par vous. Le partage des clés API va à l’encontre des conditions générales d’utilisation.

Lorsque vous commencez à faire des essais, vous voudrez peut-être élargir l’accès à l’API à votre équipe. OpenAI ne prend pas en charge le partage des clés API. Veuillez inviter de nouveaux membres à votre compte à partir de la page Membres et ils recevront rapidement leur propre clé unique lors de la connexion. Vous pouvez aussi attribuer des autorisations à des clés API individuelles.

2. Ne déployez jamais votre clé dans des environnements côté client comme les navigateurs ou les applications mobiles.

Exposer votre clé API OpenAI dans des environnements côté client comme les navigateurs ou les applications mobiles permet à des utilisateurs malveillants de prendre cette clé et d’effectuer des requêtes en votre nom, ce qui peut entraîner des frais imprévus ou la compromission de certaines données du compte. Les requêtes doivent toujours être acheminées par votre propre serveur backend, où vous pouvez conserver votre clé API en sécurité.

3. Ne validez jamais votre clé dans votre dépôt

Valider une clé API dans le code source est un vecteur courant de compromission des identifiants. Pour les personnes ayant des dépôts publics, c’est une façon courante de partager sans le savoir votre clé avec Internet. Les dépôts privés sont plus sécurisés, mais une atteinte aux données peut aussi entraîner la fuite de vos clés. Pour ces raisons, nous recommandons fortement l’utilisation de variables d’environnement comme mesure proactive de sécurité des clés.

4. Utilisez des variables d’environnement à la place de votre clé API

Une variable d’environnement est une variable définie sur votre système d’exploitation plutôt qu’à l’intérieur de votre application. Elle se compose d’un nom et d’une valeur.Nous recommandons de définir le nom de la variable à OPENAI_API_KEY. En gardant ce nom de variable uniforme dans toute votre équipe, vous pouvez valider et partager votre code sans risquer d’exposer votre clé API.

Configuration Windows

Option 1 : Définissez votre variable d’environnement « OPENAI_API_KEY » via l’invite cmd

Exécutez ce qui suit dans l’invite cmd, en remplaçant <yourkey> par votre clé API :

setx OPENAI_API_KEY "<yourkey>"

Cela s’appliquera aux futures fenêtres d’invite cmd; vous devrez donc en ouvrir une nouvelle pour utiliser cette variable avec curl. Vous pouvez vérifier que cette variable a été définie en ouvrant une nouvelle fenêtre d’invite cmd et en tapant 

echo %OPENAI_API_KEY%

Option 2 : Définissez votre variable d’environnement « OPENAI_API_KEY » par l’entremise du Panneau de configuration

1. Ouvrez les propriétés du Système et sélectionnez Paramètres système avancés

Windows 10 System settings with Advanced system settings highlighted in Control Panel

2. Sélectionnez Variables d’environnement...

Windows System Properties Advanced tab with Environment Variables button highlighted

3. Sélectionnez Nouveau… dans la section Variables utilisateur (en haut). Ajoutez votre paire nom/valeur de clé en remplaçant <yourkey> par votre clé API.

Nom de la variable : OPENAI_API_KEY
Valeur de la variable : <yourkey>

Configuration Linux / MacOS

Option 1 : Définissez votre variable d’environnement « OPENAI_API_KEY » à l’aide de zsh

1. Exécutez la commande suivante dans votre terminal, en remplaçant yourkey par votre clé API. 

echo "export OPENAI_API_KEY='yourkey'" >> ~/.zshrc

2. Mettez à jour le shell avec la nouvelle variable :

source ~/.zshrc

3. Confirmez que vous avez défini votre variable d’environnement à l’aide de la commande suivante. 

echo $OPENAI_API_KEY

La valeur de votre clé API sera la sortie obtenue.

Option 2 : Définissez votre variable d’environnement « OPENAI_API_KEY » à l’aide de bash

Suivez les instructions de l’option 1 en remplaçant .zshrc par .bash_profile.

Tout est prêt! Vous pouvez maintenant faire référence à la clé dans curl ou la charger dans votre Python :

import os
import openai
 
openai.api_key = os.environ["OPENAI_API_KEY"]

5. Utilisez un service de gestion des clés

Il existe une variété de produits pour gérer en toute sécurité les clés API secrètes. Ces outils vous permettent de contrôler l’accès à vos clés et d’améliorer votre sécurité globale des données. En cas d’atteinte aux données de votre application, vos clés ne seraient pas compromises, car elles seraient chiffrées et gérées dans un emplacement complètement distinct.

Pour les équipes qui déploient leurs applications en production, nous vous recommandons d’envisager l’un de ces services.

6. Surveillez l’utilisation de votre compte et faites la rotation de vos clés au besoin

Une clé API compromise permet à une personne d’accéder au quota de votre compte, sans votre consentement. Cela peut entraîner une perte de données, des frais imprévus, l’épuisement de votre quota mensuel et une interruption de votre accès à l’API.

L’utilisation de votre équipe peut être suivie à partir de la page Utilisation. Si vous avez des préoccupations concernant une mauvaise utilisation, voici quelques mesures que vous pouvez prendre pour protéger votre compte :

  • Examinez votre utilisation pour voir si elle correspond au travail de votre équipe. Pour les utilisateurs appartenant à plusieurs organisations (p. ex., entreprise et personnel), assurez-vous que l’utilisateur a activé le suivi et défini son organisation par défaut pour l’utilisation et le suivi.

  • Si vous croyez que votre clé a été divulguée, faites immédiatement la rotation de votre clé à partir de la page Clés API. Pour les clients ayant des applications en production, vous devrez mettre à jour les valeurs de vos clés en conséquence.

  • Communiquez avec nous par l’entremise de help.openai.com pour une enquête plus approfondie.

7. Restreignez l’accès à l’API à l’aide d’une liste d’autorisation IP

La liste d’autorisation IP vous permet de restreindre quelles adresses IP peuvent accéder à votre API OpenAI. Lorsqu’elle est activée, seules les requêtes provenant d’adresses IP ou de plages configurées sont autorisées, et toutes les autres sont rejetées, même si elles incluent une clé API valide.

Cela ajoute une couche de protection supplémentaire en garantissant que votre API n’est accessible qu’à partir d’une infrastructure de confiance, comme vos serveurs backend ou votre environnement infonuagique.

Pour en savoir plus, consultez l’article sur la liste d’autorisation IP pour l’API OpenAI.

Cet article vous a-t-il été utile?