Bonnes pratiques pour gérer les clés API

Lorsque vous utilisez des clés API dans vos applications, assurez-vous qu'elles sont protégées lors du stockage et de la transmission. L'exposition publique de vos clés API peut entraîner des frais inattendus sur votre compte ou un accès non autorisé à vos données. Pour contribuer à la sécurité de vos clés API, appliquez les bonnes pratiques suivantes.

Ajouter des restrictions de clés API à votre clé

En ajoutant des restrictions, vous pouvez limiter les modalités d'utilisation d'une clé API, réduisant ainsi l'impact d'une clé API compromise.

Pour en savoir plus, consultez Appliquer des restrictions de clé API.

Supprimer les clés API inutiles pour réduire l'exposition aux attaques

Conservez uniquement les clés API que vous utilisez actuellement pour réduire au maximum votre surface d'attaque.

Supprimer et recréer régulièrement vos clés API

Vous devez créer périodiquement des clés API, mettre à jour vos applications pour qu'elles utilisent les nouvelles clés API et supprimer les anciennes.

Ne pas inclure de clés API dans le code client et ne pas effectuer de commit dans des dépôts de code

Les clés API codées en dur dans le code source ou stockées dans un dépôt peuvent être interceptées ou volées par des acteurs malveillants. Le client doit transmettre les requêtes au serveur, qui peut ajouter les identifiants et émettre la requête. Si vous devez stocker la clé côté client, utilisez un système de gestion des secrets pour la protéger.

Implémenter une surveillance et une journalisation efficaces

La surveillance de l'utilisation de l'API peut vous aider à détecter une utilisation non autorisée. Pour en savoir plus, consultez la présentation de Cloud Monitoring et la présentation de Cloud Logging.

Envisager une méthode plus sécurisée pour autoriser l'accès

Pour savoir comment choisir une méthode d'authentification, consultez la section Méthodes d'authentification.