管理 API 密钥的最佳实践

当您在应用中使用 API 密钥时，请确保其在存储和传输期间均安全无虞。公开泄露 API 密钥可能会导致您的账号产生意外费用或您的数据遭到未经授权的访问。为帮助确保 API 密钥的安全，请实施以下最佳实践：

为密钥添加 API 密钥限制。

通过添加限制，您可以限制 API 密钥的使用方式，从而降低 API 密钥被破解造成的影响。

如需了解详情，请参阅应用 API 密钥限制。

将 API 密钥作为查询参数提供给 API 会在网址中包含您的 API 密钥，从而使密钥容易遭到网址扫描的窃取。请改用 x-goog-api-key HTTP 标头或客户端库。

仅保留您正在使用的 API 密钥，以尽可能缩小攻击面。

在源代码中硬编码的 API 密钥或存储在代码库中的 API 密钥可能会被作恶方截取或窃取。客户端应将请求传递给服务器，后者可以添加凭据并发出请求。

绑定到服务账号的 API 密钥旨在为探索 Google Cloud API 的开发者提供更快的初始体验。请勿在生产环境中使用这些 API 密钥。而是计划迁移到更安全的替代方案，例如 Identity and Access Management (IAM) 政策和短期有效的服务账号凭证，并遵循最小权限安全实践。

因此，您应尽快从使用绑定到服务账号的 API 密钥迁移到更安全的实践：

API 密钥会随请求一起发送。这会使密钥更有可能被公开或记录。
API 密钥是不记名凭证。这意味着，如果有人窃取了绑定到服务账号的 API 密钥，则可以使用该密钥以该服务账号的身份进行身份验证，并访问该服务账号可以访问的相同资源。
绑定到服务账号的 API 密钥会在审核日志中隐藏最终用户的身份。如需跟踪各个用户的操作，请确保每个用户都有自己的一组凭证。

监控 API 用量有助于提醒您未经授权的使用情况。如需了解详情，请参阅 Cloud Monitoring 概览和 Cloud Logging 概览。

为每个团队成员提供每个应用的专属 API 密钥。这有助于控制访问权限、提供审核跟踪记录，并降低 API 密钥被破解的影响。

定期创建新的 API 密钥，更新应用以使用新的 API 密钥，以及删除旧密钥。

如需了解详情，请参阅轮替 API 密钥。

如需有关选择身份验证方法的帮助，请参阅身份验证方法。