OpenAI
Эта страница была переведена машинным переводом. Открыть оригинальную статью на английском.

Можно ли поделиться API-ключом с коллегой или участником команды?

Узнайте, почему API-ключи лучше хранить в секрете и как безопасно предоставить команде доступ.

Обновлено: 3 days ago

Можно ли поделиться API-ключом?

Мы не рекомендуем делиться личным API-ключом — даже с надежными коллегами или участниками команды. API-ключи дают доступ к использованию и биллингу вашей организации, и их передача может:

  • Поставить под угрозу безопасность аккаунта

  • Затруднить отслеживание использования

  • Нарушить рекомендации по безопасному управлению ключами

Как рекомендуется работать совместно?

Не следует использовать ключи, привязанные к пользователям, для совместной работы команды. Вместо этого мы рекомендуем использовать API-ключи на уровне проектов, которые предназначены для безопасной, проверяемой и масштабируемой совместной работы:

  • Создавайте проекты в панели управления OpenAI.

  • Назначайте участников на проекты по команде, продукту или среде (например, staging или production).

  • Создавайте отдельные API-ключи для каждого проекта с изолированными лимитами запросов и контролем расходов.

  • Отслеживайте использование по каждому проекту в панели использования.

Такой подход дает вам:

  • Более надежный контроль доступа

  • Лучшее разделение сред

  • Понятную видимость использования по каждому проекту

  • Более безопасные операционные границы для production-систем

Могу ли я по-прежнему приглашать пользователей в организацию?

Да. На странице команды можно:

  • Приглашать коллег в вашу организацию

  • Назначать их читателями или владельцами

  • Разрешать им безопасно использовать проекты без передачи личных ключей

Каждый пользователь может проходить аутентификацию с помощью ключей, связанных с проектами, к которым у него есть доступ.

Где хранить API-ключи?

Все API-ключи следует:

  • Безопасно хранить с помощью переменных окружения или инструментов управления секретами

  • Никогда не добавлять в код и не передавать в открытом виде

  • Ротировать, если вы подозреваете, что они были раскрыты

Ознакомьтесь с рекомендациями по безопасности API-ключей →

Что делать, если я хочу разделить среды?

Вы можете:

  • Создать отдельные проекты для staging, production и development

  • Назначить отдельные API-ключи и пользователей для каждой среды

  • Настроить отдельные лимиты запросов и лимиты расходов для каждого проекта

Это дает более строгий операционный контроль и снижает риск случайно повлиять на рабочие системы.

Была ли эта статья полезной?