Ao usar chaves de API nos seus aplicativos, garanta que elas sejam mantidas em segurança durante o armazenamento e a transmissão. A exposição pública das chaves de API pode levar a cobranças inesperadas na sua conta ou acesso não autorizado aos seus dados. Para manter as chaves de API em segurança, implemente as práticas recomendadas a seguir.
Adicione restrições da chave de API à sua chave
Ao adicionar restrições, é possível limitar como uma chave de API pode ser usada, reduzindo o impacto de uma chave de API comprometida.
Para mais informações, consulte Aplicar restrições de chave de API.
Exclua chaves de API desnecessárias para minimizar a exposição a ataques
Retenha apenas as chaves de API que você está usando para manter a superfície de ataque o menor possível.
Excluir e recriar chaves de API periodicamente
Crie periodicamente novas chaves de API, atualize os aplicativos para usar as novas chaves e exclua as antigas.
Não incluir chaves de API no código do cliente nem confirmar em repositórios de código
Chaves de API codificadas no código-fonte ou armazenadas em um repositório estão sujeitas a interceptação ou roubo por usuários mal-intencionados. O cliente precisa transmitir solicitações ao servidor, que pode adicionar a credencial e emitir a solicitação. Se você precisar armazenar a chave no lado do cliente, use um sistema de gerenciamento de secrets para manter a chave segura.
Implementar monitoramento e geração de registros eficientes
O monitoramento do uso da API pode ajudar a alertar sobre uso não autorizado. Para mais informações, consulte a Visão geral do Cloud Monitoring e a Visão geral do Cloud Logging.
Considere um método mais seguro de autorização de acesso
Para saber como escolher um método de autenticação, consulte Métodos de autenticação.