Praktik terbaik untuk mengelola kunci API

Saat Anda menggunakan kunci API di aplikasi, pastikan kunci tersebut tetap aman selama penyimpanan dan transmisi. Menampilkan kunci API kepada publik dapat menyebabkan tagihan tidak terduga pada akun Anda atau akses tidak sah ke data Anda. Untuk membantu menjaga kunci API Anda tetap aman, terapkan praktik terbaik berikut.

Menambahkan pembatasan kunci API ke kunci Anda

Dengan menambahkan batasan, Anda dapat membatasi penggunaan kunci API, sehingga mengurangi dampak kunci API yang disusupi.

Untuk informasi selengkapnya, lihat Menerapkan pembatasan kunci API.

Menghapus kunci API yang tidak diperlukan untuk meminimalkan paparan serangan

Hanya simpan kunci API yang saat ini Anda gunakan untuk menjaga permukaan serangan sekecil mungkin.

Menghapus dan membuat ulang kunci API Anda secara berkala

Buat kunci API baru secara berkala, update aplikasi Anda untuk menggunakan kunci API baru, dan hapus kunci lama.

Jangan sertakan kunci API dalam kode klien atau komit ke repositori kode

Kunci API yang di-hardcode dalam kode sumber atau disimpan di repositori dapat diintersepsi atau dicuri oleh pihak yang tidak bertanggung jawab. Klien harus meneruskan permintaan ke server, yang dapat menambahkan kredensial dan mengeluarkan permintaan. Jika Anda harus menyimpan kunci di sisi klien, gunakan sistem pengelolaan secret untuk menjaga kunci tetap aman.

Mengimplementasikan pemantauan dan logging yang kuat

Memantau penggunaan API dapat membantu memperingatkan Anda tentang penggunaan yang tidak sah. Untuk mengetahui informasi selengkapnya, lihat ringkasan Cloud Monitoring dan ringkasan Cloud Logging.

Pertimbangkan metode otorisasi akses yang lebih aman

Untuk mendapatkan bantuan terkait cara memilih metode autentikasi, lihat Metode autentikasi.