Selalu gunakan kunci API yang unik untuk setiap anggota tim di akun Anda.
Kunci API adalah kode unik yang mengidentifikasi permintaan Anda ke API. Kunci API Anda dimaksudkan untuk digunakan oleh Anda sendiri. Berbagi kunci API bertentangan dengan Ketentuan Penggunaan.
Saat Anda mulai bereksperimen, Anda mungkin ingin memperluas akses API ke tim Anda. OpenAI tidak memberikan dukungan untuk berbagi kunci API. Silakan undang anggota baru ke akun Anda dari halaman Anggota dan mereka akan segera menerima kunci unik mereka sendiri setelah masuk. Anda juga dapat menetapkan izin ke kunci API individual.
2. Jangan pernah mendistribusikan kunci Anda di lingkungan sisi klien seperti browser atau aplikasi seluler.
Menampilkan kunci API OpenAI di lingkungan sisi-klien seperti browser atau aplikasi mobile berisiko disalahgunakan oleh pihak pengguna yang jahat untuk melakukan permintaan atas nama Anda – sehingga berpotensi menimbulkan biaya tak terduga atau mengancam keamanan data akun. Permintaan harus selalu dialihkan melalui server backend Anda sendiri di mana Anda dapat menjaga kunci API Anda tetap aman.
3. Jangan pernah menyimpan kunci Anda ke dalam repositori Anda
Menyertakan kunci API ke dalam kode sumber adalah cara umum yang dapat menyebabkan kebocoran kredensial. Jika Anda menggunakan repositori publik, praktik ini sering kali menjadi penyebab API key tersebar ke publik tanpa disadari. Repositori pribadi lebih aman, tetapi pelanggaran data juga dapat mengakibatkan kunci Anda bocor. Atas alasan-alasan tersebut, kami sangat merekomendasikan penggunaan variabel lingkungan sebagai langkah proaktif untuk menjaga keamanan API key.
4. Menggunakan Variabel Lingkungan sebagai pengganti Kunci API Anda
Variabel lingkungan adalah variabel yang ditetapkan pada sistem operasi Anda, bukan di dalam aplikasi Anda. Ini terdiri atas nama dan nilai. Kami merekomendasikan agar Anda menetapkan nama variabel menjadi OPENAI_API_KEY. Dengan menjaga nama variabel ini konsisten di seluruh tim Anda, Anda dapat melakukan commit dan berbagi kode Anda tanpa risiko mengekspos kunci API Anda.
Setelan Windows
Opsi 1: Atur Variabel Lingkungan ‘OPENAI_API_KEY’ Anda melalui prompt cmd
Jalankan perintah berikut di prompt cmd, menggantikan <yourkey> dengan kunci API Anda:
setx OPENAI_API_KEY "<yourkey>"Ini akan berlaku untuk jendela cmd prompt di masa depan, jadi Anda perlu membuka yang baru untuk menggunakan variabel tersebut dengan curl. Anda dapat memvalidasi bahwa variabel ini telah diatur dengan membuka jendela cmd prompt baru dan mengetikkan
echo %OPENAI_API_KEY%Opsi 2: Atur Variabel Lingkungan ‘OPENAI_API_KEY’ Anda melalui Panel Kontrol
1. Buka properti Sistem dan pilih Pengaturan sistem lanjutan
2. Pilih Variabel Lingkungan...
3. Pilih Baru… dari bagian variabel Pengguna (bagian atas). Tambahkan pasangan nilai nama/kunci Anda, menggantikan <yourkey> dengan kunci API Anda.
Nama variabel: OPENAI_API_KEY
Nilai variabel: <yourkey>Pengaturan Linux/macOS
Opsi 1: Atur Variabel Lingkungan ‘OPENAI_API_KEY’ Anda menggunakan zsh
1. Jalankan perintah berikut di terminal Anda, menggantikan yourkey dengan kunci API Anda.
echo "export OPENAI_API_KEY='yourkey'" >> ~/.zshrc2. Perbarui shell dengan variabel baru:
source ~/.zshrc3. Konfirmasikan bahwa Anda telah mengatur variabel lingkungan Anda dengan menggunakan perintah berikut.
echo $OPENAI_API_KEYNilai dari kunci API Anda akan menjadi keluaran yang dihasilkan.
Opsi 2: Atur Variabel Lingkungan ‘OPENAI_API_KEY’ Anda dengan menggunakan bash
Ikuti petunjuk di Opsi 1, ganti .zshrc. dengan .bash_profile.
Anda sudah siap! Sekarang Anda dapat merujuk kunci di curl atau muat di Python Anda:
import os
import openai
openai.api_key = os.environ["OPENAI_API_KEY"]5. Menggunakan Layanan Manajemen Kunci
Ada berbagai produk yang tersedia untuk mengelola kunci API rahasia secara aman. Alat-alat ini memungkinkan Anda untuk mengontrol akses ke kunci Anda dan meningkatkan keamanan data Anda secara keseluruhan. Jika aplikasi Anda mengalami kebocoran data, API key tetap aman karena disimpan dalam bentuk terenkripsi dan dikelola secara terpisah.
Untuk tim yang menerapkan aplikasi mereka ke dalam produksi, kami merekomendasikan Anda untuk mempertimbangkan salah satu dari layanan ini.
6. Memantau penggunaan akun Anda dan ganti kunci Anda saat diperlukan
Kunci API yang bocor dapat mengakibatkan seseorang untuk mendapatkan akses ke kuota akun Anda, tanpa persetujuan Anda. Hal ini dapat mengakibatkan kehilangan data, biaya tak terduga, pengurangan kuota bulanan Anda, dan gangguan dalam akses API Anda.
Penggunaan tim Anda dapat dilacak melalui halaman Penggunaan. Jika Anda memiliki kekhawatiran tentang penyalahgunaan, ada beberapa tindakan yang dapat Anda ambil untuk melindungi akun Anda:
Tinjau penggunaan Anda untuk melihat apakah itu sesuai dengan pekerjaan tim Anda. Untuk pengguna yang tergabung dalam beberapa organisasi (contoh: (korporat dan personal), pastikan pengguna telah aktifkan pelacakan dan menetapkan organisasi default mereka untuk penggunaan dan pelacakan.
Jika Anda yakin Kunci API Anda telah bocor, segera ganti kunci Anda dari halaman Kunci API. Untuk pelanggan dengan aplikasi yang sedang dalam produksi, Anda perlu memperbarui nilai kunci Anda sesuai kebutuhan.
Hubungi kami melalui help.openai.com untuk penyelidikan lebih lanjut.
7. Batasi akses API menggunakan daftar IP yang diizinkan
Daftar IP yang diizinkan memungkinkan Anda membatasi alamat IP mana yang dapat mengakses API OpenAI Anda. Ketika diaktifkan, hanya permintaan dari alamat atau rentang IP yang dikonfigurasi yang akan diizinkan, dan semua permintaan lainnya akan ditolak—meskipun menyertakan kunci API yang valid.
Ini menambahkan lapisan perlindungan tambahan dengan memastikan bahwa API Anda hanya dapat diakses dari infrastruktur tepercaya, seperti server backend atau lingkungan cloud Anda.
Untuk informasi selengkapnya, lihat artikel daftar putih IP untuk OpenAI API.