API キーの使用

このガイドでは、API キーの作成方法と、API キー制限の設定方法について説明します。

API は単純な暗号化された文字列であり、プライベート ユーザーデータにアクセスする必要のない、特定の API を呼び出すときに使用できます。API キーは、バックエンド サーバーを持たないモバイル アプリケーションやブラウザなどのクライアントで使用すると便利です。API キーは、割り当てや課金のためにプロジェクトに関連付けられた API リクエストをトラッキングするために使用されます。

API キーには、以下のような重要な制限があります。

このため、代わりに標準の認証フローを使用することをおすすめします。ただし、API キーのほうが適切である場合もあります。たとえば、Google Cloud Translation API を使用する必要のあるモバイル アプリケーションを開発している場合に、バックエンド サーバーが必要ないときは、API キーを使用してその API を認証する方法が最も簡単です。大部分の場合、Google Cloud Platform サービスの認証や呼び出しを処理するバックエンド サーバーとアプリケーションを通信させることをおすすめします。

API キーを作成する

  1. GCP Console の [APIs とサービス] → [認証情報] パネルに移動します。

  2. [認証情報を作成] を選択し、プルダウン メニューから [API キー] を選択します。

    API キーの追加

  3. [作成] ボタンをクリックします。[API キーを作成しました] ダイアログ ボックスに、新たに作成されたキーが表示されます。

キーをコピーして、安全な場所に保管することもできます。後で削除する予定のテストキーを使用している場合を除き、API キー制限を追加することをおすすめします。

API キーの使用

以下の形式で、クエリ パラメータとして API キーを REST API 呼び出しに渡します。API_KEY を API キーに置き換えます。

key=API_KEY

たとえば、documents.analyzeEntities に対する Cloud Natural Language API リクエストの API キーを渡すには、次のようにします。

POST https://language.googleapis.com/v1/documents:analyzeEntities?key=API_KEY

API キーを保護する

アプリケーションで API キーを利用するときは、キーの安全確保に努めてください。認証情報が公開されると、アカウントが侵害され、アカウントに対して予想外の料金が課される可能性があります。API キーの安全性を保つには、以下のベスト プラクティスに従ってください。

  • API キーをコードに直接埋め込まないでください。コードに埋め込まれた API キーは、誤って公開されてしまう可能性があります。たとえば、共有するコードからキーを削除し忘れた場合などです。API キーはアプリケーションに埋め込む代わりに、アプリケーションのソースツリー外部にある環境変数やファイル内に保存してください。

  • アプリケーションのソースツリー内のファイルに API キーを保存しないでください。API キーをファイルに保存する場合は、キーがソースコード制御システム内に保存されないよう、ファイルをアプリケーションのソースツリー外部に保持するようにします。これは特に、GitHub のような公共のソースコード管理システムを使用する場合に重要です。

  • キーを必要とする IP アドレス、参照 URL、モバイルアプリのみに使用が制限されるように、API キー制限を設定します。

  • 定期的に API キーを再生成します。API キーは、各キーの [キーを再生成] をクリックして [認証情報] ページから再生成できます。その後、新たに生成したキーが使用されるようにアプリケーションを更新します。古いキーは置換用のキーを生成した後も 24 時間は機能し続けます。

  • 公開する前に、コードを確認します。コードを公開する前に、コードに API キーやその他のプライベート情報が含まれていないことを確認してください。

API キーに制限を追加する

デフォルトで、API キーは制限されていません。制限されていないキーは、ブラウザ内などから公開されたり、キーが置かれているデバイスからアクセスされたりする可能性があるため、安全ではありません。キーを保護するために、制限を追加することをおすすめします。

制限を追加するには、次のようにします。

  1. [API キーを作成しました] ダイアログ ボックス内の [キーを制限] をクリックします。[API キー] 設定パネルが表示されます。

    API キーの制限の追加

  2. アプリケーションのニーズに合わせて、制限のタイプを選択します。

    • ウェブブラウザで実行されている API クライアントでは、HTTP 参照制限を追加して、指定されたページでのみ API を呼び出せるようにする必要があります。このようなタイプのアプリケーションでは API キーが公開されるため、代わりに、サービス アカウントを使用することをおすすめします。

    • サービス アカウントをサポートできないバックエンド サーバーで実行されている API クライアントでは、別の IP アドレスでクライアントからの使用を防ぐための IP アドレス制限を追加する必要があります。

    • Android アプリケーションでは、Android アプリ制限を追加して、パッケージ名と SHA-1 署名証明書フィンガープリントを追加する必要があります。

    • iOS アプリケーションでは iOS アプリ制限を追加して、iOS バンドル識別子を追加し、iOS バンドルへの API 呼び出しを制限する必要があります。

テストの場合は、制限を設定する必要はありません。ただし、アプリケーションを本番環境にデプロイした後は、このキーに制限を追加するか、制限を削除することをおすすめします。

次のステップ

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...