OpenAI
Táto stránka bola strojovo preložená. Prečítaj si pôvodný článok v angličtine.

Osvedčené postupy pre bezpečnosť API kľúčov

Aktualizované: 2 days ago

1. Pre každého člena tímu vo svojom účte vždy používajte jedinečný kľúč API.

Kľúč API je jedinečný kód, ktorý identifikuje vaše požiadavky na API. Váš kľúč API je určený na používanie vami. Zdieľanie kľúčov API je v rozpore s podmienkami používania.

Keď začnete experimentovať, možno budete chcieť rozšíriť prístup k API na svoj tím. OpenAI nepodporuje zdieľanie kľúčov API. Pozvite nových členov do svojho účtu zo stránky Členovia a po prihlásení rýchlo dostanú svoj vlastný jedinečný kľúč. Jednotlivým kľúčom API môžete priraďovať povolenia.

2. Nikdy nenasadzujte svoj kľúč v klientskych prostrediach, ako sú prehliadače alebo mobilné aplikácie.

Vystavenie vášho kľúča OpenAI API v klientskych prostrediach, ako sú prehliadače alebo mobilné aplikácie, umožňuje škodlivým používateľom tento kľúč prevziať a odosielať požiadavky vo vašom mene – čo môže viesť k neočakávaným poplatkom alebo kompromitácii určitých údajov účtu. Požiadavky by sa mali vždy smerovať cez váš vlastný backendový server, kde môžete svoj kľúč API uchovávať v bezpečí.

3. Nikdy neukladajte svoj kľúč do repozitára

Uloženie kľúča API do zdrojového kódu je bežný spôsob kompromitácie prihlasovacích údajov. Ak máte verejné repozitáre, je to bežný spôsob, ako môžete nevedomky zdieľať svoj kľúč s internetom. Súkromné repozitáre sú bezpečnejšie, ale narušenie ochrany údajov môže tiež viesť k úniku vašich kľúčov. Z týchto dôvodov dôrazne odporúčame používať premenné prostredia ako proaktívne bezpečnostné opatrenie na ochranu kľúčov.

4. Namiesto kľúča API používajte premenné prostredia

Premenná prostredia je premenná nastavená vo vašom operačnom systéme, nie vo vašej aplikácii. Skladá sa z názvu a hodnoty. Odporúčame nastaviť názov premennej na OPENAI_API_KEY. Ak tento názov premennej zachováte konzistentný v celom tíme, môžete ukladať a zdieľať svoj kód bez rizika odhalenia kľúča API.


Nastavenie pre Windows

Možnosť 1: Nastavte premennú prostredia „OPENAI_API_KEY“ cez príkazový riadok cmd

Spustite nasledujúce v príkazovom riadku cmd a nahraďte <yourkey> svojím kľúčom API:

setx OPENAI_API_KEY "<yourkey>"

Toto sa použije na budúce okná príkazového riadka cmd, takže na použitie tejto premennej s curl budete musieť otvoriť nové okno. To, že bola táto premenná nastavená, môžete overiť otvorením nového okna príkazového riadka cmd a zadaním

echo %OPENAI_API_KEY%

Možnosť 2: Nastavte premennú prostredia „OPENAI_API_KEY“ cez Ovládací panel

  1. Otvorte vlastnosti Systému a vyberte Rozšírené nastavenia systému

Windows 10 System settings with Advanced system settings highlighted in Control Panel

  1. Vyberte Premenné prostredia...

Windows System Properties Advanced tab with Environment Variables button highlighted

  1. Vyberte Nová… v sekcii Používateľské premenné (hore). Pridajte dvojicu názov/hodnota kľúča a nahraďte <yourkey> svojím kľúčom API.

Názov premennej: OPENAI_API_KEY
Hodnota premennej: <yourkey>

Nastavenie pre Linux / MacOS

Možnosť 1: Nastavte premennú prostredia „OPENAI_API_KEY“ pomocou zsh

  1. Spustite nasledujúci príkaz v termináli a nahraďte yourkey svojím kľúčom API.

echo "export OPENAI_API_KEY='yourkey'" >> ~/.zshrc

  1. Aktualizujte shell novou premennou:

source ~/.zshrc

  1. Pomocou nasledujúceho príkazu potvrďte, že ste nastavili premennú prostredia.

echo $OPENAI_API_KEY

Výsledným výstupom bude hodnota vášho kľúča API.


Možnosť 2: Nastavte premennú prostredia „OPENAI_API_KEY“ pomocou bash

Postupujte podľa pokynov v možnosti 1 a nahraďte .zshrc za .bash_profile.

Všetko je pripravené! Teraz môžete na kľúč odkazovať v curl alebo ho načítať v Pythone:

import os
import openai
 
openai.api_key = os.environ["OPENAI_API_KEY"]

5. Používajte službu správy kľúčov

Na bezpečnú správu tajných kľúčov API je k dispozícii viacero produktov. Tieto nástroje vám umožňujú kontrolovať prístup ku kľúčom a zlepšiť celkovú bezpečnosť údajov. V prípade narušenia ochrany údajov vašej aplikácie by vaše kľúče neboli kompromitované, pretože by boli šifrované a spravované na úplne samostatnom mieste.

Tímom, ktoré nasadzujú svoje aplikácie do produkcie, odporúčame zvážiť jednu z týchto služieb.

6. Sledujte využitie svojho účtu a podľa potreby rotujte svoje kľúče

Kompromitovaný kľúč API umožňuje osobe získať prístup ku kvóte vášho účtu bez vášho súhlasu. Môže to viesť k strate údajov, neočakávaným poplatkom, vyčerpaniu mesačnej kvóty a prerušeniu prístupu k API.

Využitie vášho tímu možno sledovať na stránke Využitie. Ak máte niekedy obavy zo zneužitia, môžete na ochranu svojho účtu podniknúť niekoľko krokov:

  • Skontrolujte svoje využitie a zistite, či zodpovedá práci vášho tímu. Pri používateľoch patriacich do viacerých organizácií (napr. firemnej a osobnej) sa uistite, že používateľ zapol sledovanie a nastavil svoju predvolenú organizáciu na využitie a sledovanie.

  • Ak sa domnievate, že váš kľúč unikol, okamžite ho rotujte na stránke Kľúče API. Zákazníci s aplikáciami v produkcii budú musieť zodpovedajúcim spôsobom aktualizovať hodnoty svojich kľúčov.

  • Kontaktujte nás cez help.openai.com na ďalšie prešetrenie.

7. Obmedzte prístup k API pomocou zoznamu povolených IP adries

Zoznam povolených IP adries vám umožňuje obmedziť, ktoré IP adresy môžu pristupovať k vášmu OpenAI API. Keď je zapnutý, povolené sú iba požiadavky z nakonfigurovaných IP adries alebo rozsahov a všetky ostatné sa odmietnu – aj keď obsahujú platný kľúč API.

Tým pridáte ďalšiu vrstvu ochrany, ktorá zaistí, že k vášmu API možno pristupovať iba z dôveryhodnej infraštruktúry, napríklad z vašich backendových serverov alebo cloudového prostredia.

Ďalšie informácie nájdete v článku o zozname povolených IP adries pre OpenAI API.

Bol tento článok užitočný?