Lorsque vous utilisez des clés API dans vos applications, assurez-vous qu'elles sont protégées lors du stockage et de la transmission. L'exposition publique de vos clés API peut entraîner des frais inattendus sur votre compte ou un accès non autorisé à vos données. Pour contribuer à la sécurité de vos clés API, appliquez les bonnes pratiques suivantes.
Ajoutez des restrictions de clés API à votre clé
En ajoutant des restrictions, vous pouvez limiter les modalités d'utilisation d'une clé API, réduisant ainsi l'impact d'une clé API compromise.
Pour en savoir plus, consultez Appliquer des restrictions de clé API.
Supprimez les clés API inutiles pour réduire l'exposition aux attaques
Conservez uniquement les clés API que vous utilisez actuellement pour réduire au maximum votre surface d'attaque.
Supprimez et recréez régulièrement vos clés API
Vous devez créer périodiquement des clés API, mettre à jour vos applications pour qu'elles utilisent les nouvelles clés API et supprimer les anciennes.
N'incluez pas de clés API dans le code client et ne les envoyez pas dans des dépôts de code
Les clés API codées en dur dans le code source ou stockées dans un dépôt peuvent être interceptées ou volées par des acteurs malveillants. Le client doit transmettre les requêtes au serveur, qui peut ajouter les identifiants et émettre la requête. Si vous devez stocker la clé côté client, utilisez un système de gestion des secrets pour la protéger.
Implémentez une surveillance et une journalisation efficaces
La surveillance de l'utilisation de l'API peut vous aider à détecter une utilisation non autorisée. Pour en savoir plus, consultez la présentation de Cloud Monitoring et la présentation de Cloud Logging.
Envisagez une méthode plus sécurisée pour autoriser l'accès
Pour savoir comment choisir une méthode d'authentification, consultez la section Méthodes d'authentification.