Best practice per la gestione delle chiavi API

Quando utilizzi le chiavi API nelle tue applicazioni, assicurati che vengano protette sia durante lo stoccaggio sia durante la trasmissione. L'esposizione pubblica delle chiavi API può portare ad addebiti imprevisti sul tuo account o all'accesso non autorizzato ai tuoi dati. Per proteggere le tue chiavi API, implementa le seguenti best practice.

Aggiungere limitazioni relative alle chiavi API alla chiave

Aggiungendo limitazioni, puoi limitare i modi in cui una chiave API può essere utilizzata, riducendo l'impatto di una chiave API compromessa.

Per ulteriori informazioni, consulta Applicare limitazioni alle chiavi API.

Elimina le chiavi API non necessarie per ridurre al minimo l'esposizione agli attacchi

Mantieni solo le chiavi API che stai utilizzando al momento per ridurre al minimo la superficie di attacco.

Elimina e ricrea periodicamente le chiavi API

Crea periodicamente nuove chiavi API, aggiorna le tue applicazioni in modo che utilizzino le nuove chiavi API ed elimina le vecchie chiavi.

Non includere le chiavi API nel codice client o non eseguirne il commit nei repository di codice

Le chiavi API hardcoded nel codice sorgente o archiviate in un repository sono soggette a intercettazione o furto da parte di malintenzionati. Il client deve passare le richieste al server, che può aggiungere la credenziale ed emettere la richiesta. Se devi memorizzare la chiave lato client, utilizza un sistema di gestione delle chiavi per mantenerla al sicuro.

Implementare un monitoraggio e un logging efficaci

Il monitoraggio dell'utilizzo delle API può aiutarti a rilevare un utilizzo non autorizzato. Per ulteriori informazioni, consulta la panoramica di Cloud Monitoring e la panoramica di Cloud Logging.

Valuta la possibilità di utilizzare un metodo di autorizzazione all'accesso più sicuro

Per assistenza nella scelta di un metodo di autenticazione, consulta Metodi di autenticazione.