API キーの管理に関するベスト プラクティス

アプリケーションで API キーを使用する場合は、保存時と転送時の両方でキーの安全確保に努めてください。API キーが公開されると、アカウントに対して予想外の料金が課されたり、データへの不正アクセスが発生したりする可能性があります。API キーの安全性を保つには、次のベスト プラクティスを実装してください。

キーに API キー制限を追加する

制限を追加することで、API キーの使用方法を制限し、API キーが不正使用された場合の影響を軽減できます。

詳細については、API キーの制限を適用するをご覧ください。

API キーを Google API に提供するためにクエリ パラメータを使用しない

API キーをクエリ パラメータとして API に提供すると、URL に API キーが挿入されるため、URL スキャンによってキーが盗難に遭ってしまいます。代わりに、x-goog-api-key HTML パラメータまたはクライアント ライブラリを使用してください。

不要な API キーを削除して、攻撃を受けるリスクを最小限に抑える

攻撃対象領域をできるだけ小さくするため、現在使用している API キーのみを保持します。

API キーを定期的にローテーションする

新しい API キーを定期的に作成して、古いキーを削除し、新しい API キーを使用するようにアプリケーションを更新します。

詳細については、API キーをローテーションするをご覧ください。

API キーをクライアント コードに含めたり、コード リポジトリに commit したりしない

ソースコードにハードコードされている API キーやリポジトリに保存されている API キーは、不正な行為者による傍受や盗難の対象となります。クライアントはリクエストをサーバーに渡し、サーバーが認証情報を追加してリクエストを発行できるようにします。

優れたモニタリングとロギングを実装する

API の使用状況をモニタリングすると、不正使用を警告できます。詳細については、Cloud Monitoring の概要Cloud Logging の概要をご覧ください。

より安全なアクセス許可方法を検討する

認証方法の選択については、認証方法をご覧ください。