API キーの管理に関するベスト プラクティス

アプリケーションで API キーを使用する場合は、保存時と転送時の両方でキーの安全確保に努めてください。API キーが公開されると、アカウントに対して予想外の料金が課されたり、データへの不正アクセスが発生したりする可能性があります。API キーの安全性を保つには、次のベスト プラクティスを実装してください。

キーに API キー制限を追加する

制限を追加することで、API キーの使用方法を制限し、API キーが不正使用された場合の影響を軽減できます。

詳細については、API キーの制限を適用するをご覧ください。

不要な API キーを削除して、攻撃を受けるリスクを最小限に抑える

攻撃対象領域をできるだけ小さくするため、現在使用している API キーのみを保持します。

API キーを定期的に削除して再作成する

新しい API キーを定期的に作成して、古いキーを削除し、新しい API キーを使用するようにアプリケーションを更新します。

API キーをクライアント コードに含めたり、コード リポジトリに commit したりしない

ソースコードにハードコードされている API キーやリポジトリに保存されている API キーは、不正な行為者による傍受や盗難の対象となります。クライアントはリクエストをサーバーに渡し、サーバーが認証情報を追加してリクエストを発行できるようにします。鍵をクライアント側に保存する必要がある場合は、シークレット管理システムを使用して鍵を安全に保管します。

強力なモニタリングとロギングを実装する

API の使用状況をモニタリングすると、不正使用を警告できます。詳細については、Cloud Monitoring の概要Cloud Logging の概要をご覧ください。

より安全なアクセス許可方法を検討する

認証方法の選択については、認証方法をご覧ください。