Saat Anda menggunakan kunci API di aplikasi, pastikan kunci tersebut tetap aman selama penyimpanan dan transmisi. Mengekspos kunci API Anda ke publik dapat menyebabkan tagihan yang tidak terduga ke akun Anda atau akses yang tidak sah ke data Anda. Untuk membantu menjaga kunci API Anda tetap aman, terapkan praktik terbaik berikut.
Menambahkan pembatasan kunci API ke kunci
Dengan menambahkan batasan, Anda dapat membatasi penggunaan kunci API, sehingga mengurangi dampak kunci API yang disusupi.
Untuk informasi selengkapnya, lihat Menerapkan pembatasan kunci API.
Menghapus kunci API yang tidak diperlukan untuk meminimalkan paparan serangan
Hanya mempertahankan kunci API yang Anda gunakan saat ini untuk menjaga serangan sekecil mungkin.
Hapus dan buat ulang kunci API secara berkala
Buat kunci API baru secara berkala, perbarui aplikasi Anda untuk menggunakan kunci API baru, dan menghapus kunci yang lama.
Jangan menyertakan kunci API dalam kode klien atau melakukan commit ke repositori kode
Kunci API yang di-hardcode dalam kode sumber atau disimpan di repositori dapat diintersepsi atau dicuri oleh pihak yang tidak bertanggung jawab. Klien harus meneruskan permintaan ke server, yang dapat menambahkan kredensial dan mengeluarkan permintaan. Jika Anda harus menyimpan kunci di sisi klien, menggunakan sistem manajemen rahasia untuk menjaga keamanan kunci.
Menerapkan pemantauan dan logging yang kuat
Memantau penggunaan API dapat membantu memperingatkan Anda tentang penggunaan yang tidak sah. Untuk selengkapnya informasi, lihat Ringkasan Cloud Monitoring dan Ringkasan Cloud Logging.
Pertimbangkan metode otorisasi akses yang lebih aman
Untuk mendapatkan bantuan terkait cara memilih metode autentikasi, lihat Metode autentikasi.