API 키 관리 권장사항

애플리케이션에서 API 키를 사용하는 경우 저장 및 전송 중에 안전하게 보호되도록 해야 합니다. API 키를 공개적으로 노출하면 계정에 예상치 않은 비용이 청구되거나 데이터에 대한 무단 액세스가 발생할 수 있습니다. API 키를 안전하게 보호하려면 다음 권장사항을 구현하세요.

API 키 제한사항을 키에 추가

제한사항을 추가하면 API 키 사용 방법을 제한하여 손상된 API 키로 인한 영향을 줄일 수 있습니다.

자세한 내용은 API 키 제한사항 적용을 참조하세요.

쿼리 파라미터를 사용하여 API 키를 Google API에 제공하지 않음

API 키를 쿼리 파라미터로 API에 제공하면 API 키가 URL에 포함되므로 URL 스캔을 통해 키가 도난당할 수 있습니다. 대신 x-goog-api-key HTML 파라미터 또는 클라이언트 라이브러리를 사용합니다.

공격에 노출되는 것을 최소화하기 위해 불필요한 API 키는 삭제하세요.

공격 표면을 최대한 작게 유지하려면 현재 사용 중인 API 키만 유지합니다.

주기적으로 API 키 순환

새 API 키를 주기적으로 만들고, 새 API 키를 사용하도록 애플리케이션을 업데이트하고, 이전 키를 삭제해야 합니다.

자세한 내용은 API 키 순환을 참조하세요.

클라이언트 코드에 API 키를 포함하거나 코드 저장소에 커밋하지 마세요.

소스 코드에 하드코딩되거나 저장소에 저장된 API 키는 악의적인 행위자가 가로채거나 도용할 수 있습니다. 클라이언트는 사용자 인증 정보를 추가하고 요청을 실행할 수 있는 서버에 요청을 전달해야 합니다.

강력한 모니터링 및 로깅을 구현하세요.

API 사용량을 모니터링하면 무단 사용을 감지하는 데 도움이 됩니다. 자세한 내용은 Cloud Monitoring 개요Cloud Logging 개요를 참조하세요.

더 안전한 액세스 승인 방법 고려

인증 방법을 선택하는 데 도움이 필요한 경우 인증 방법을 참조하세요.