Práticas recomendadas para gerenciar chaves de API

Ao usar chaves de API nos seus aplicativos, garanta que elas sejam mantidas em segurança durante o armazenamento e a transmissão. A exposição pública das chaves de API pode levar a cobranças inesperadas na sua conta ou acesso não autorizado aos seus dados. Para manter as chaves de API em segurança, implemente as práticas recomendadas a seguir.

Adicione restrições da chave de API à sua chave

Ao adicionar restrições, é possível limitar como uma chave de API pode ser usada, reduzindo o impacto de uma chave de API comprometida.

Para mais informações, consulte Aplicar restrições de chave de API.

Exclua chaves de API desnecessárias para minimizar a exposição a ataques

Retenha apenas as chaves de API que você está usando para manter a superfície de ataque o menor possível.

Excluir e recriar chaves de API periodicamente

Crie periodicamente novas chaves de API, atualize os aplicativos para usar as novas chaves e exclua as antigas.

Não incluir chaves de API no código do cliente nem confirmar em repositórios de código

Chaves de API codificadas no código-fonte ou armazenadas em um repositório estão sujeitas a interceptação ou roubo por usuários mal-intencionados. O cliente precisa transmitir solicitações ao servidor, que pode adicionar a credencial e emitir a solicitação. Se você precisar armazenar a chave no lado do cliente, use um sistema de gerenciamento de secrets para manter a chave segura.

Implementar monitoramento e geração de registros eficientes

O monitoramento do uso da API pode ajudar a alertar sobre uso não autorizado. Para mais informações, consulte a Visão geral do Cloud Monitoring e a Visão geral do Cloud Logging.

Considere um método mais seguro de autorização de acesso

Para saber como escolher um método de autenticação, consulte Métodos de autenticação.