OpenAI
Bu sayfanın çevirisi otomatik olarak yapılmıştır. Orijinal İngilizce makaleyi görüntüleyin.

API Anahtarı Güvenliği için En İyi Uygulamalar

Güncellenme zamanı: 15 days ago

1. Hesabınızdaki her ekip üyesi için her zaman benzersiz bir API anahtarı kullanın.

API anahtarı, API’ye gönderdiğiniz istekleri tanımlayan benzersiz bir koddur. API anahtarınız sizin tarafınızdan kullanılmak üzere tasarlanmıştır. API anahtarlarının paylaşılması Kullanım Koşullarına aykırıdır.

Denemelere başladıkça, API erişimini ekibinize genişletmek isteyebilirsiniz. OpenAI, API anahtarlarının paylaşılmasını desteklemez. Lütfen Üyeler sayfasından hesabınıza yeni üyeler davet edin; oturum açtıklarında hızla kendi benzersiz anahtarlarını alacaklardır. Ayrıca ayrı API anahtarlarına izinler atayabilirsiniz.

2. Anahtarınızı asla tarayıcılar veya mobil uygulamalar gibi istemci tarafı ortamlarda dağıtmayın.

OpenAI API anahtarınızı tarayıcılar veya mobil uygulamalar gibi istemci tarafı ortamlarda açığa çıkarmak, kötü niyetli kullanıcıların bu anahtarı alıp sizin adınıza istek göndermesine olanak tanır; bu da beklenmeyen ücretlere veya belirli hesap verilerinin ele geçirilmesine yol açabilir. İstekler, API anahtarınızı güvenli tutabileceğiniz kendi arka uç sunucunuz üzerinden her zaman yönlendirilmelidir.

3. Anahtarınızı asla deponuza commit etmeyin

Bir API anahtarını kaynak koda commit etmek, kimlik bilgilerinin ele geçirilmesi için yaygın bir yoldur. Herkese açık depoları olanlar için bu, anahtarınızı farkında olmadan internetle paylaşmanızın yaygın bir yoludur. Özel depolar daha güvenlidir, ancak bir veri ihlali anahtarlarınızın sızdırılmasına da yol açabilir. Bu nedenlerle, proaktif bir anahtar güvenliği önlemi olarak ortam değişkenlerini kullanmanızı önemle öneririz.

4. API anahtarınızın yerine Ortam Değişkenleri kullanın

Ortam değişkeni, uygulamanızın içinde değil, işletim sisteminizde ayarlanan bir değişkendir. Bir ad ve değerden oluşur. Değişkenin adını OPENAI_API_KEY olarak ayarlamanızı öneririz. Bu değişken adını ekibiniz genelinde tutarlı tutarak, API anahtarınızı açığa çıkarma riski olmadan kodunuzu commit edip paylaşabilirsiniz.


Windows Kurulumu

Seçenek 1: cmd komut istemi aracılığıyla “OPENAI_API_KEY” Ortam Değişkeninizi ayarlayın

cmd komut isteminde aşağıdakini çalıştırın; <yourkey> yerine API anahtarınızı koyun:

setx OPENAI_API_KEY "<yourkey>"

Bu, gelecekteki cmd komut istemi pencerelerine uygulanacaktır; bu nedenle değişkeni curl ile kullanmak için yeni bir pencere açmanız gerekir. Yeni bir cmd komut istemi penceresi açıp şunu yazarak bu değişkenin ayarlandığını doğrulayabilirsiniz

echo %OPENAI_API_KEY%

Seçenek 2: “OPENAI_API_KEY” Ortam Değişkeninizi Denetim Masası üzerinden ayarlayın

  1. Sistem özelliklerini açın ve Gelişmiş sistem ayarlarını seçin

Windows 10 System settings with Advanced system settings highlighted in Control Panel
  1. Ortam Değişkenleri...ni seçin

Windows System Properties Advanced tab with Environment Variables button highlighted
  1. Kullanıcı değişkenleri bölümünden (üstte) Yeni… seçeneğini seçin. <yourkey> yerine API anahtarınızı koyarak ad/anahtar değer çiftinizi ekleyin.

Değişken adı: OPENAI_API_KEY
Değişken değeri: <yourkey>

Linux / MacOS Kurulumu

Seçenek 1: zsh kullanarak “OPENAI_API_KEY” Ortam Değişkeninizi ayarlayın

  1. Terminalinizde aşağıdaki komutu çalıştırın; yourkey yerine API anahtarınızı koyun.

echo "export OPENAI_API_KEY='yourkey'" >> ~/.zshrc
  1. Kabuğu yeni değişkenle güncelleyin:

source ~/.zshrc
  1. Aşağıdaki komutu kullanarak ortam değişkeninizi ayarladığınızı doğrulayın.

echo $OPENAI_API_KEY

API anahtarınızın değeri elde edilen çıktı olacaktır.


Seçenek 2: bash kullanarak “OPENAI_API_KEY” Ortam Değişkeninizi ayarlayın

Seçenek 1’deki yönergeleri izleyin; .zshrc yerine .bash_profile kullanın.

Her şey hazır! Artık anahtara curl içinde başvurabilir veya Python’ınıza yükleyebilirsiniz:

import os
import openai

openai.api_key = os.environ["OPENAI_API_KEY"]

5. Bir Anahtar Yönetim Hizmeti kullanın

Gizli API anahtarlarını güvenle yönetmek için çeşitli ürünler mevcuttur. Bu araçlar, anahtarlarınıza erişimi kontrol etmenizi ve genel veri güvenliğinizi iyileştirmenizi sağlar. Uygulamanızda bir veri ihlali olması durumunda, anahtarlarınız şifrelenmiş ve tamamen ayrı bir konumda yönetiliyor olacağından ele geçirilmez.

Uygulamalarını üretime dağıtan ekiplerin bu hizmetlerden birini değerlendirmesini öneririz.

6. Hesap kullanımınızı izleyin ve gerektiğinde anahtarlarınızı döndürün

Ele geçirilmiş bir API anahtarı, bir kişinin izniniz olmadan hesap kotanıza erişmesine olanak tanır. Bu durum veri kaybına, beklenmeyen ücretlere, aylık kotanızın tükenmesine ve API erişiminizin kesintiye uğramasına neden olabilir.

Ekiplerinizin Kullanımı Kullanım sayfasından takip edilebilir. Kötüye kullanımla ilgili endişeleriniz olursa hesabınızı korumak için atabileceğiniz birkaç adım vardır:

  • Kullanımınızı gözden geçirerek ekibinizin çalışmasıyla uyumlu olup olmadığını kontrol edin. Birden fazla kuruluşa ait kullanıcılar için (örn. kurumsal ve kişisel), kullanıcının izlemeyi etkinleştirdiğinden ve kullanım ile izleme için varsayılan kuruluşunu ayarladığından emin olun.

  • Anahtarınızın sızdırıldığını düşünüyorsanız anahtarınızı hemen API Anahtarları sayfasından döndürün. Üretimde uygulamaları olan müşterilerin anahtar değerlerini buna göre güncellemesi gerekir.

  • Daha fazla inceleme için help.openai.com üzerinden bizimle iletişime geçin.

7. IP izin listesi kullanarak API erişimini kısıtlayın

IP izin listesi, OpenAI API’nize hangi IP adreslerinin erişebileceğini kısıtlamanızı sağlar. Etkinleştirildiğinde, yalnızca yapılandırılmış IP adreslerinden veya aralıklarından gelen isteklere izin verilir; geçerli bir API anahtarı içerseler bile diğerlerinin tümü reddedilir.

Bu, API’nize yalnızca arka uç sunucularınız veya bulut ortamınız gibi güvenilir altyapılardan erişilebilmesini sağlayarak ek bir koruma katmanı ekler.

Daha fazla bilgi için OpenAI API için IP izin listesi makalesine bakın.

Bu makale yararlı oldu mu?