OpenAI
Для перекладу цієї сторінки виконано машинний переклад. Ви можете переглянути оригінальну статтю англійською.

Найкращі практики безпеки API-ключів

Оновлено: 2 days ago

1. Завжди використовуйте унікальний ключ API для кожного учасника команди у вашому обліковому записі.

Ключ API — це унікальний код, який ідентифікує ваші запити до API. Ваш ключ API призначений для використання саме вами. Спільне використання ключів API суперечить Умовам використання.

Коли ви почнете експериментувати, можливо, захочете розширити доступ до API для своєї команди. OpenAI не підтримує спільне використання ключів API. Запросіть нових учасників до свого облікового запису зі сторінки Учасники, і після входу вони швидко отримають власний унікальний ключ. Ви також можете призначати дозволи для окремих API ключів.

2. Ніколи не розгортайте свій ключ у клієнтських середовищах, як-от браузери чи мобільні застосунки.

Розкриття вашого ключа OpenAI API у клієнтських середовищах, як-от браузери чи мобільні застосунки, дає зловмисникам змогу взяти цей ключ і надсилати запити від вашого імені, що може призвести до неочікуваних стягнень або компрометації певних даних облікового запису. Запити завжди слід спрямовувати через власний бекенд-сервер, де ви можете безпечно зберігати свій ключ API.

3. Ніколи не додавайте свій ключ до репозиторію

Додавання ключа API до вихідного коду є поширеним способом компрометації облікових даних. Для тих, хто має публічні репозиторії, це поширений спосіб несвідомо поділитися своїм ключем з інтернетом. Приватні репозиторії безпечніші, але витік даних також може призвести до розкриття ваших ключів. З цих причин ми наполегливо рекомендуємо використовувати змінні середовища як проактивний захід безпеки ключів.

4. Використовуйте змінні середовища замість ключа API

Змінна середовища — це змінна, яку задано в операційній системі, а не у вашому застосунку. Вона складається з назви та значення. Рекомендуємо задати назву змінної як OPENAI_API_KEY. Підтримуючи однакову назву цієї змінної в усій команді, ви можете додавати код до репозиторію та ділитися ним без ризику розкриття ключа API.


Налаштування Windows

Варіант 1: Задайте змінну середовища ‘OPENAI_API_KEY’ через командний рядок cmd

Виконайте таку команду в командному рядку cmd, замінивши <yourkey> на ваш ключ API:

setx OPENAI_API_KEY "<yourkey>"

Це застосовуватиметься до майбутніх вікон командного рядка cmd, тож вам потрібно буде відкрити нове, щоб використовувати цю змінну з curl. Ви можете перевірити, що цю змінну задано, відкривши нове вікно командного рядка cmd і ввівши

echo %OPENAI_API_KEY%

Варіант 2: Задайте змінну середовища ‘OPENAI_API_KEY’ через Панель керування

  1. Відкрийте властивості Система й виберіть Додаткові параметри системи

Windows 10 System settings with Advanced system settings highlighted in Control Panel

  1. Виберіть Змінні середовища...

Windows System Properties Advanced tab with Environment Variables button highlighted

  1. Виберіть Створити… у розділі змінних користувача (угорі). Додайте пару «назва/значення», замінивши <yourkey> на ваш ключ API.

Назва змінної: OPENAI_API_KEY
Значення змінної: <yourkey>

Налаштування Linux / MacOS

Варіант 1: Задайте змінну середовища ‘OPENAI_API_KEY’ за допомогою zsh

  1. Виконайте таку команду в терміналі, замінивши yourkey на ваш ключ API.

echo "export OPENAI_API_KEY='yourkey'" >> ~/.zshrc

  1. Оновіть оболонку новою змінною:

source ~/.zshrc

  1. Підтвердьте, що ви задали змінну середовища, за допомогою такої команди.

echo $OPENAI_API_KEY

У результаті буде виведено значення вашого ключа API.


Варіант 2: Задайте змінну середовища ‘OPENAI_API_KEY’ за допомогою bash

Дотримуйтесь інструкцій із Варіанта 1, замінивши .zshrc на .bash_profile.

Усе готово! Тепер ви можете посилатися на ключ у curl або завантажити його у Python:

import os
import openai
 
openai.api_key = os.environ["OPENAI_API_KEY"]

5. Використовуйте службу керування ключами

Існує багато продуктів для безпечного керування секретними ключами API. Ці інструменти дають змогу контролювати доступ до ваших ключів і покращувати загальну безпеку даних. У разі витоку даних у вашому застосунку ваші ключі не будуть скомпрометовані, оскільки вони будуть зашифровані та керуватимуться в повністю окремому місці.

Командам, які розгортають свої застосунки в робочому середовищі, ми рекомендуємо розглянути одну з таких служб.

6. Відстежуйте використання облікового запису та змінюйте ключі за потреби

Скомпрометований ключ API дає іншій особі доступ до квоти вашого облікового запису без вашої згоди. Це може призвести до втрати даних, неочікуваних стягнень, вичерпання місячної квоти та переривання доступу до API.

Використання вашої команди можна відстежувати на сторінці Використання. Якщо у вас виникнуть занепокоєння щодо зловживань, ви можете виконати кілька дій, щоб захистити свій обліковий запис:

  • Перегляньте своє використання, щоб перевірити, чи відповідає воно роботі вашої команди. Для користувачів, що належать до кількох організацій (наприклад, корпоративної та особистої), переконайтеся, що користувач увімкнув відстеження та встановив організацію за замовчуванням для використання й відстеження.

  • Якщо ви вважаєте, що ваш ключ було розкрито, негайно змініть його на сторінці Ключі API. Клієнтам із застосунками в робочому середовищі потрібно буде відповідно оновити значення ключів.

  • Зв’яжіться з нами через help.openai.com для подальшого розслідування.

7. Обмежуйте доступ до API за допомогою списку дозволених IP-адрес

Список дозволених IP-адрес дає змогу обмежити, які IP-адреси можуть отримувати доступ до вашого OpenAI API. Коли цю функцію ввімкнено, дозволяються лише запити з налаштованих IP-адрес або діапазонів, а всі інші відхиляються — навіть якщо вони містять дійсний ключ API.

Це додає ще один рівень захисту, гарантуючи, що доступ до вашого API можливий лише з довіреної інфраструктури, як-от ваших бекенд-серверів або хмарного середовища.

Докладніше див. статтю про список дозволених IP-адрес для OpenAI API.

Чи була ця стаття корисною?