OpenAI
หน้านี้แปลด้วยระบบอัตโนมัติ ดูต้นฉบับภาษาอังกฤษ.

แนวทางปฏิบัติที่ดีที่สุดสำหรับความปลอดภัยของ API Key

อัปเดตล่าสุด: 2 days ago

1. ใช้คีย์ API ที่ไม่ซ้ำกันสำหรับสมาชิกทีมแต่ละคนในบัญชีของคุณเสมอ

คีย์ API คือรหัสเฉพาะที่ระบุคำขอของคุณไปยัง API คีย์ API ของคุณมีไว้ให้คุณใช้งาน การแชร์คีย์ API ขัดต่อข้อตกลงการใช้งาน

เมื่อคุณเริ่มทดลองใช้งาน คุณอาจต้องการขยายการเข้าถึง API ให้กับทีมของคุณ OpenAI ไม่รองรับการแชร์คีย์ API โปรดเชิญสมาชิกใหม่เข้าสู่บัญชีของคุณจากหน้า สมาชิก และพวกเขาจะได้รับคีย์เฉพาะของตนอย่างรวดเร็วเมื่อลงชื่อเข้าใช้ คุณยังสามารถกำหนดสิทธิ์ให้กับคีย์ API แต่ละรายการได้ด้วย

2. อย่านำคีย์ของคุณไปใช้งานในสภาพแวดล้อมฝั่งไคลเอนต์ เช่น เบราว์เซอร์หรือแอปมือถือ

การเปิดเผยคีย์ OpenAI API ของคุณในสภาพแวดล้อมฝั่งไคลเอนต์ เช่น เบราว์เซอร์หรือแอปมือถือ ทำให้ผู้ใช้ที่ประสงค์ร้ายสามารถนำคีย์นั้นไปใช้ส่งคำขอในนามของคุณได้ ซึ่งอาจทำให้เกิดค่าใช้จ่ายที่ไม่คาดคิด หรือทำให้ข้อมูลบัญชีบางอย่างถูกละเมิด คำขอควรถูกกำหนดเส้นทางผ่านเซิร์ฟเวอร์แบ็กเอนด์ของคุณเองเสมอ ซึ่งเป็นที่ที่คุณสามารถเก็บคีย์ API ของคุณให้ปลอดภัยได้

3. อย่าคอมมิตคีย์ของคุณไปยัง Repository ของคุณ

การคอมมิตคีย์ API ลงในซอร์สโค้ดเป็นช่องทางทั่วไปที่ทำให้ข้อมูลเข้าสู่ระบบถูกละเมิด สำหรับผู้ที่มี Repository สาธารณะ วิธีนี้เป็นวิธีทั่วไปที่คุณอาจแชร์คีย์ของคุณกับอินเทอร์เน็ตโดยไม่รู้ตัว Repository ส่วนตัวปลอดภัยกว่า แต่การรั่วไหลของข้อมูลก็อาจทำให้คีย์ของคุณรั่วไหลได้เช่นกัน ด้วยเหตุผลเหล่านี้ เราขอแนะนำอย่างยิ่งให้ใช้ตัวแปรสภาพแวดล้อมเป็นมาตรการเชิงรุกเพื่อความปลอดภัยของคีย์

4. ใช้ตัวแปรสภาพแวดล้อมแทนคีย์ API ของคุณ

ตัวแปรสภาพแวดล้อมคือตัวแปรที่ตั้งค่าไว้บนระบบปฏิบัติการของคุณ แทนที่จะตั้งค่าภายในแอปพลิเคชันของคุณ ประกอบด้วยชื่อและค่า เราขอแนะนำให้คุณตั้งชื่อตัวแปรเป็น OPENAI_API_KEY การรักษาชื่อตัวแปรนี้ให้สอดคล้องกันทั่วทั้งทีม ช่วยให้คุณคอมมิตและแชร์โค้ดได้โดยไม่มีความเสี่ยงที่จะเปิดเผยคีย์ API ของคุณ


การตั้งค่า Windows

ตัวเลือกที่ 1: ตั้งค่าตัวแปรสภาพแวดล้อม ‘OPENAI_API_KEY’ ผ่านพรอมป์คำสั่ง cmd

เรียกใช้รายการต่อไปนี้ในพรอมป์คำสั่ง cmd โดยแทนที่ <yourkey> ด้วยคีย์ APIของคุณ:

setx OPENAI_API_KEY "<yourkey>"

การดำเนินการนี้จะมีผลกับหน้าต่างพรอมป์คำสั่ง cmd ในอนาคต ดังนั้นคุณจะต้องเปิดหน้าต่างใหม่เพื่อใช้ตัวแปรนั้นกับ curl คุณสามารถตรวจสอบว่าตั้งค่าตัวแปรนี้แล้ว โดยเปิดหน้าต่างพรอมป์คำสั่ง cmd ใหม่แล้วพิมพ์

echo %OPENAI_API_KEY%

ตัวเลือกที่ 2: ตั้งค่าตัวแปรสภาพแวดล้อม ‘OPENAI_API_KEY’ ผ่านแผงควบคุม

  1. เปิดคุณสมบัติ ระบบ แล้วเลือก การตั้งค่าระบบขั้นสูง

Windows 10 System settings with Advanced system settings highlighted in Control Panel

  1. เลือก ตัวแปรสภาพแวดล้อม...

Windows System Properties Advanced tab with Environment Variables button highlighted

  1. เลือก ใหม่… จากส่วนตัวแปรผู้ใช้ (ด้านบน) เพิ่มคู่ชื่อ/ค่าคีย์ของคุณ โดยแทนที่ <yourkey> ด้วยคีย์ APIของคุณ

ชื่อตัวแปร: OPENAI_API_KEY
ค่าตัวแปร: <yourkey>

การตั้งค่า Linux / MacOS

ตัวเลือกที่ 1: ตั้งค่าตัวแปรสภาพแวดล้อม ‘OPENAI_API_KEY’ โดยใช้ zsh

  1. เรียกใช้คำสั่งต่อไปนี้ในเทอร์มินัลของคุณ โดยแทนที่ yourkey ด้วยคีย์ APIของคุณ

echo "export OPENAI_API_KEY='yourkey'" >> ~/.zshrc

  1. อัปเดตเชลล์ด้วยตัวแปรใหม่:

source ~/.zshrc

  1. ยืนยันว่าคุณได้ตั้งค่าตัวแปรสภาพแวดล้อมแล้วโดยใช้คำสั่งต่อไปนี้

echo $OPENAI_API_KEY

ค่าของคีย์ API ของคุณจะเป็นเอาต์พุตที่ได้


ตัวเลือกที่ 2: ตั้งค่าตัวแปรสภาพแวดล้อม ‘OPENAI_API_KEY’ โดยใช้ bash

ทำตามคำแนะนำในตัวเลือกที่ 1 โดยแทนที่ .zshrc ด้วย .bash_profile

เรียบร้อยแล้ว! ตอนนี้คุณสามารถอ้างอิงคีย์ใน curl หรือโหลดใน Python ของคุณได้แล้ว:

import os
import openai
 
openai.api_key = os.environ["OPENAI_API_KEY"]

5. ใช้บริการจัดการคีย์

มีผลิตภัณฑ์หลากหลายที่พร้อมใช้งานสำหรับการจัดการคีย์ API ลับอย่างปลอดภัย เครื่องมือเหล่านี้ช่วยให้คุณควบคุมการเข้าถึงคีย์ของคุณและปรับปรุงความปลอดภัยของข้อมูลโดยรวม ในกรณีที่เกิดการรั่วไหลของข้อมูลในแอปพลิเคชันของคุณ คีย์ของคุณจะไม่ถูกละเมิด เนื่องจากคีย์จะถูกเข้ารหัสและจัดการในตำแหน่งที่แยกออกจากกันโดยสิ้นเชิง

สำหรับทีมที่นำแอปพลิเคชันไปใช้ในสภาพแวดล้อมการใช้งานจริง เราขอแนะนำให้คุณพิจารณาหนึ่งในบริการเหล่านี้

6. ตรวจสอบการใช้งานบัญชีของคุณและหมุนเวียนคีย์เมื่อจำเป็น

คีย์ API ที่ถูกละเมิดทำให้ผู้อื่นเข้าถึงโควตาบัญชีของคุณได้โดยไม่ได้รับความยินยอมจากคุณ สิ่งนี้อาจทำให้ข้อมูลสูญหาย มีค่าใช้จ่ายที่ไม่คาดคิด โควตารายเดือนของคุณหมดลง และการเข้าถึง API ของคุณหยุดชะงัก

สามารถติดตามการใช้งานของทีมคุณได้ผ่านหน้า การใช้งาน หากคุณกังวลเกี่ยวกับการใช้งานในทางที่ผิด มีการดำเนินการบางอย่างที่คุณทำได้เพื่อปกป้องบัญชีของคุณ:

  • ตรวจสอบการใช้งานของคุณเพื่อดูว่าสอดคล้องกับงานของทีมคุณหรือไม่ สำหรับผู้ใช้ที่อยู่ในหลายองค์กร (เช่น องค์กรบริษัทและส่วนบุคคล) ตรวจสอบให้แน่ใจว่าผู้ใช้ได้เปิดใช้งานการติดตาม และตั้งค่าองค์กรเริ่มต้นสำหรับการใช้งานและการติดตามแล้ว

  • หากคุณเชื่อว่าคีย์ของคุณรั่วไหล ให้หมุนเวียนคีย์ทันทีจากหน้า คีย์ API สำหรับลูกค้าที่มีแอปพลิเคชันในสภาพแวดล้อมการใช้งานจริง คุณจะต้องอัปเดตค่าคีย์ของคุณให้สอดคล้องกัน

  • ติดต่อเราผ่าน help.openai.com เพื่อการตรวจสอบเพิ่มเติม

7. จำกัดการเข้าถึง API ด้วยรายการ IP ที่อนุญาต

รายการ IP ที่อนุญาตช่วยให้คุณจำกัดได้ว่าที่อยู่ IP ใดบ้างที่สามารถเข้าถึง OpenAI API ของคุณได้ เมื่อเปิดใช้งาน ระบบจะอนุญาตเฉพาะคำขอจากที่อยู่หรือช่วง IP ที่กำหนดค่าไว้เท่านั้น และจะปฏิเสธคำขออื่นทั้งหมด แม้ว่าจะมีคีย์ API ที่ถูกต้องก็ตาม

สิ่งนี้เพิ่มการป้องกันอีกชั้น โดยทำให้มั่นใจว่า API ของคุณจะเข้าถึงได้จากโครงสร้างพื้นฐานที่เชื่อถือได้เท่านั้น เช่น เซิร์ฟเวอร์แบ็กเอนด์หรือสภาพแวดล้อมคลาวด์ของคุณ

ดูข้อมูลเพิ่มเติมได้ที่บทความรายการ IP ที่อนุญาตสำหรับ OpenAI API

บทความนี้มีประโยชน์หรือไม่