애플리케이션에서 API 키를 사용하는 경우 저장 및 전송 중에 안전하게 보호되도록 해야 합니다. API 키를 공개적으로 노출하면 계정에 예상치 않은 비용이 청구되거나 데이터에 대한 무단 액세스가 발생할 수 있습니다. API 키를 안전하게 보호하려면 다음 권장사항을 구현하세요.
API 키 제한사항을 키에 추가
제한사항을 추가하면 API 키 사용 방법을 제한하여 손상된 API 키로 인한 영향을 줄일 수 있습니다.
자세한 내용은 API 키 제한사항 적용을 참조하세요.
공격에 노출되는 것을 최소화하기 위해 불필요한 API 키 삭제
공격 표면을 최대한 작게 유지하려면 현재 사용 중인 API 키만 유지합니다.
API 키를 주기적으로 삭제하고 다시 만들기.
새 API 키를 주기적으로 만들고, 새 API 키를 사용하도록 애플리케이션을 업데이트하고, 이전 키를 삭제해야 합니다.
클라이언트 코드에 API 키를 포함하거나 코드 저장소에 커밋하지 않음
소스 코드에 하드코딩되거나 저장소에 저장된 API 키는 악의적인 행위자가 가로채거나 도용할 수 있습니다. 클라이언트는 사용자 인증 정보를 추가하고 요청을 실행할 수 있는 서버에 요청을 전달해야 합니다. 클라이언트 측에 키를 저장해야 하는 경우 보안 비밀 관리 시스템을 사용하여 키를 안전하게 유지하세요.
강력한 모니터링 및 로깅 구현
API 사용량을 모니터링하면 무단 사용을 감지하는 데 도움이 됩니다. 자세한 내용은 Cloud Monitoring 개요 및 Cloud Logging 개요를 참조하세요.
더 안전한 액세스 승인 방법 고려
인증 방법을 선택하는 데 도움이 필요한 경우 인증 방법을 참조하세요.