Cuando uses claves de API en tus aplicaciones, asegúrate de que se mantengan seguras durante el almacenamiento y la transmisión. Si expones tus claves de API de forma pública, puedes generar cargos inesperados en tu cuenta o acceso no autorizado a tus datos. Para ayudarte a mantener tus claves de API seguras, implementa las siguientes prácticas recomendadas.
Agrega restricciones de clave de API a tu clave
Si agregas restricciones, puedes limitar las formas en que se puede usar una clave de API, lo que reduce el impacto de una clave de API vulnerada.
Para obtener más información, consulta Aplica restricciones de clave de API.
Evita usar parámetros de consulta para proporcionar tu clave de API a las APIs de Google
Si proporcionas tu clave de API a las APIs como un parámetro de consulta, esta se incluye en la URL, lo que la expone al robo a través de análisis de URL. En su lugar, usa el parámetro HTML x-goog-api-key o una biblioteca cliente.
Borra las claves de API innecesarias para minimizar la exposición a los ataques
Retén solo las claves de API que usas actualmente para mantener la superficie de ataque lo más pequeña posible.
Rota tus claves de API de forma periódica
Crea claves de API nuevas de forma periódica, actualiza tus aplicaciones para que usen las claves de API nuevas y borra las claves antiguas.
Para obtener más información, consulta Rota una clave de API.
No incluyas claves de API en el código del cliente ni las confirmes en repositorios de código
Las claves de API codificadas en el código fuente o almacenadas en un repositorio están expuestas a la interceptación o el robo por parte de personas malintencionadas. El cliente debe pasar solicitudes al servidor, que puede agregar la credencial y emitir la solicitud.
Implementa una supervisión y un registro sólidos
Supervisar el uso de la API puede ayudarte a alertarte sobre el uso no autorizado. Para obtener más información, consulta la descripción general de Cloud Monitoring y la descripción general de Cloud Logging.
Considera un método más seguro para autorizar el acceso
Si necesitas ayuda para elegir un método de autenticación, consulta Métodos de autenticación.