Configuración de seguridad de API Key
Reduce el riesgo de exposición de API Key mediante privilegios mínimos, restricciones de acceso y mecanismos de rotación
Estrategia de seguridad en tres capas
1) Capa de red: lista blanca de IP
Si tu servicio está desplegado en un servidor fijo, la lista blanca de IP suele ser la primera línea de defensa más eficaz.
2) Capa de permisos: principio de mínimo privilegio
Se recomienda habilitar únicamente las capacidades realmente necesarias:
- Habilitar solo los modelos necesarios
- Usar únicamente el Group adecuado
- Establecer una Quota razonable para las API Key críticas
3) Capa de operaciones: rotación y auditoría
Para un uso a largo plazo, se recomienda combinarlo con lo siguiente:
- Rotación periódica de API Key
- Alertas ante solicitudes anómalas
- Dividir las API Key por negocio para facilitar la auditoría
Qué hacer si se produce una exposición
- Deshabilita o elimina de inmediato la API Key expuesta
- Crea una nueva API Key y actualiza la configuración del servicio
- Rastrea el origen de la exposición, por ejemplo, repositorios, logs, exposición en frontend o filtración mediante capturas de pantalla
¿Te resultó útil esta guía?
Última actualización el
Página de precios
Al elegir un modelo, no te fijes solo en el nombre; también debes considerar sus capacidades, el coste, el grupo y el caso de uso real
Configuración de notificaciones y alertas de quota
Recibir avisos por saldo bajo o anomalías con antelación es más importante que esperar a que el servicio falle para empezar a investigar