Quando usar chaves de API nas suas aplicações, certifique-se de que as mantém seguras durante o armazenamento e a transmissão. A exposição pública das chaves da API pode resultar em cobranças inesperadas na sua conta ou acesso não autorizado aos seus dados. Para ajudar a manter as suas chaves da API seguras, implemente as seguintes práticas recomendadas.
Adicione restrições da chave da API à sua chave
Ao adicionar restrições, pode limitar as formas como uma chave da API pode ser usada, reduzindo o impacto de uma chave da API comprometida.
Para mais informações, consulte o artigo Aplique restrições de chaves da API.
Evite usar parâmetros de consulta para fornecer a sua chave de API às APIs Google
Fornecer a chave da API às APIs como um parâmetro de consulta inclui a chave da API no URL, expondo-a a roubo através de análises de URLs. Em alternativa, use o
cabeçalho HTTP x-goog-api-key
ou uma biblioteca de cliente.
Elimine as chaves da API desnecessárias para minimizar a exposição a ataques
Mantenha apenas as chaves da API que está a usar ativamente para manter a sua superfície de ataque o mais pequena possível.
Não inclua chaves da API no código do cliente nem as confirme em repositórios de código
As chaves da API codificadas no código-fonte ou armazenadas num repositório estão abertas à interceção ou ao roubo por parte de intervenientes mal-intencionados. O cliente deve transmitir os pedidos ao servidor, que pode adicionar a credencial e emitir o pedido.
Não use chaves da API associadas a contas de serviço em produção
As chaves da API associadas a contas de serviço foram concebidas para acelerar a experiência inicial dos programadores que exploram as Google Cloud APIs. Não os use em ambientes de produção. Em alternativa, planeie a migração para alternativas mais seguras, como as políticas de gestão de identidade e de acesso (IAM) e as credenciais de contas de serviço de curta duração, seguindo as práticas de segurança de privilégios mínimos.
Veja por que motivo deve migrar da utilização de uma chave da API associada a uma conta de serviço para práticas mais seguras assim que possível:
As chaves da API são enviadas juntamente com os pedidos. Isto torna mais provável que a chave seja exposta ou registada.
As chaves da API são credenciais de portador. Isto significa que, se alguém roubar uma chave da API associada a uma conta de serviço, pode usá-la para fazer a autenticação como essa conta de serviço e aceder aos mesmos recursos que a conta de serviço pode.
As chaves da API associadas a contas de serviço ocultam a identidade do utilizador final nos registos de auditoria. Para acompanhar as ações de utilizadores individuais, certifique-se de que cada utilizador tem o seu próprio conjunto de credenciais.
Implemente uma monitorização e um registo fortes
A monitorização da utilização da API pode ajudar a alertá-lo para a utilização não autorizada. Para mais informações, consulte Descrição geral do Cloud Monitoring e Descrição geral do Cloud Logging.
Isole as chaves da API
Forneça a cada membro da equipa a sua própria chave da API para cada aplicação. Isto pode ajudar a controlar o acesso, fornecer uma trilha de auditoria e reduzir o impacto de uma chave de API comprometida.
Alterne as chaves da API periodicamente
Crie periodicamente novas chaves da API, atualize as suas aplicações para usarem as novas chaves da API e elimine as chaves antigas.
Para mais informações, consulte o artigo Rode uma chave de API.
Considere um método mais seguro de autorizar o acesso
Para obter ajuda na escolha de um método de autenticação, consulte o artigo Métodos de autenticação.