OpenAI

Bonnes pratiques pour la sécurité des clés API

Dernière mise à jour : 3 days ago

1. Utilisez toujours une clé API unique pour chaque membre de votre équipe sur votre compte.

Une clé API est un code unique qui identifie vos requêtes auprès de l'API. Votre clé API est destinée à être utilisée par vous-même. Le partage des clés API est contraire aux Conditions d'utilisation.

Lorsque vous commencerez à vous familiariser avec l'API, vous souhaiterez peut-être étendre l'accès à votre équipe. OpenAI n'autorise pas le partage des clés API. Veuillez inviter de nouveaux membres à votre compte depuis la page Membres et ils recevront rapidement leur propre clé unique dès qu'ils se connecteront. Vous pouvez également attribuer des autorisations à des clés API individuelles.

2. Ne déployez jamais votre clé dans des environnements côté client tels que des navigateurs ou des applications mobiles.

L'exposition de votre clé API OpenAI dans des environnements côté client tels que les navigateurs ou les applications mobiles permet à des utilisateurs malveillants de s'emparer de cette clé et d'effectuer des requêtes en votre nom, ce qui peut entraîner des frais imprévus ou compromettre certaines données de votre compte. Les requêtes doivent toujours être acheminées via votre propre serveur backend, où vous pouvez sécuriser votre clé API.

3. N'ajoutez jamais votre clé à votre référentiel

L'intégration d'une clé API dans le code source constitue un vecteur courant de compromission des identifiants. Pour ceux qui disposent de référentiels publics, il s'agit d'un moyen courant de partager involontairement votre clé sur Internet. Les référentiels privés sont plus sécurisés, mais une violation de données peut également entraîner la divulgation de vos clés. Pour ces raisons, nous recommandons fortement l'utilisation de variables d'environnement comme mesure proactive de sécurité des clés.

4. Utilisez des variables d'environnement à la place de votre clé API

Une variable d'environnement est une variable définie sur votre système d'exploitation plutôt qu'au sein de votre application. Elle se compose d'un nom et d'une valeur. Nous vous recommandons de définir le nom de la variable sur OPENAI_API_KEY. En conservant ce nom de variable pour toute votre équipe, vous pouvez valider et partager votre code sans risque d'exposer votre clé API.

Configuration de Windows

Option 1 : définissez votre variable d'environnement « OPENAI_API_KEY » via le prompt de commande

Exécutez la commande suivante dans le prompt de commande, en remplaçant <yourkey> par votre clé API :

setx OPENAI_API_KEY "<yourkey>"

Cela s'appliquera à la prochaine fenêtre du prompt de commande, vous devrez donc en ouvrir une nouvelle pour utiliser cette variable avec curl. Vous pouvez vérifier que cette variable a été définie en ouvrant une nouvelle fenêtre de prompt et en la saisissant 

echo %OPENAI_API_KEY%

Option 2 : définissez votre variable d'environnement « OPENAI_API_KEY » via le panneau de configuration

1. Ouvrez les propriétés du Système et sélectionnez Paramètres avancés du système

Windows 10 System settings with Advanced system settings highlighted in Control Panel

2. Sélectionnez Variables d'environnement...

Windows System Properties Advanced tab with Environment Variables button highlighted

3. Sélectionnez Nouvelle… dans la section des variables utilisateur (en haut). Ajoutez votre paire nom/valeur clé, en remplaçant <yourkey> par votre clé API.

Nom de la variable : OPENAI_API_KEY
Valeur de la variable : <yourkey>

Configuration Linux / macOS

Option 1 : définissez votre variable d'environnement « OPENAI_API_KEY » en utilisant zsh

1. Exécutez la commande suivante dans votre terminal, en remplaçant yourkey par votre clé API. 

echo "export OPENAI_API_KEY='yourkey'" >> ~/.zshrc

2. Mettez à jour le shell avec la nouvelle variable :

source ~/.zshrc

3. Confirmez que vous avez configuré votre variable d'environnement à l'aide de la commande suivante. 

echo $OPENAI_API_KEY

La valeur de votre clé API sera le résultat obtenu.

Option 2 : définissez votre variable d'environnement « OPENAI_API_KEY » en utilisant bash

Suivez les instructions de l'option 1, en remplaçant .zshrc. par .bash_profile.

Tout est prêt ! Vous pouvez désormais référencer la clé dans curl ou la charger dans votre environnement Python :

import os
import openai
 
openai.api_key = os.environ["OPENAI_API_KEY"]

5. Utilisez un service de gestion des clés

Il existe une variété de produits disponibles pour gérer en toute sécurité les clés API secrètes. Ces outils vous permettent de contrôler l'accès à vos clés et d'améliorer la sécurité globale de vos données. En cas d'événement de violation de données de votre application, vos clés ne seraient pas compromises, car elles seraient chiffrées et gérées dans un emplacement totalement distinct.

Pour les équipes déployant leurs applications en production, nous vous recommandons de prendre en compte l'un de ces services.

6. Surveillez l'utilisation de votre compte et changez vos clés lorsque cela est nécessaire

Une clé API compromise permet à une personne d'accéder au quota de votre compte sans votre consentement. Cela peut entraîner une perte de données, des frais imprévus, l'épuisement de votre quota mensuel et une interruption de votre accès à l'API.

L'utilisation de vos équipes peut être suivie via la page Utilisation. Si vous avez des inquiétudes concernant une utilisation abusive, vous pouvez prendre certaines mesures pour protéger votre compte :

  • Revoyez votre utilisation pour vérifier si elle correspond à l'œuvre de votre équipe. Pour les utilisateurs appartenant à plusieurs organisations (par exemple, une organisation professionnelle et une personnelle), veuillez vous assurer que l'utilisateur a activé le suivi et défini son organisation par défaut pour l'utilisation et le suivi.

  • Si vous pensez que votre clé API a été compromise, changez-la immédiatement depuis la page clés API. Pour les clients ayant des applications en production, vous devrez mettre à jour vos valeurs clés en conséquence.

  • Contactez-nous via help.openai.com pour une enquête plus poussée.

7. Limiter l'accès à l'API à l'aide d'une liste blanche d'adresses IP

La liste blanche d'adresses IP vous permet de limiter les adresses IP autorisées à accéder à votre API OpenAI. Lorsqu'elle est activée, seules les requêtes provenant des adresses IP ou des plages d'adresses IP configurées sont autorisées, et toutes les autres sont rejetées, même si elles contiennent une clé API valide.

Cela ajoute un niveau de protection supplémentaire en garantissant que votre API n'est accessible qu'à partir d'une infrastructure de confiance, telle que vos serveurs backend ou votre environnement cloud.

Pour plus d'informations, consultez l'article Liste blanche d'adresses IP pour l'API OpenAI.

Cet article vous a-t-il été utile ?