Configuration de sécurité des API Key
Réduisez le risque de fuite des API Key grâce au principe du moindre privilège, aux restrictions d’accès et à un mécanisme de rotation
Stratégie de sécurité en trois couches
1) Couche réseau : liste blanche d’IP
Si votre service est déployé sur un serveur fixe, la liste blanche d’IP constitue généralement la première ligne de défense la plus efficace.
2) Couche des permissions : moindre privilège
Il est recommandé de n’ouvrir que les capacités réellement nécessaires :
- N’autoriser que les modèles requis
- Utiliser uniquement les groupes appropriés
- Définir une quota raisonnable pour les API Key critiques
3) Couche opérations : rotation et audit
Pour un usage à long terme, il est recommandé de combiner avec :
- Rotation régulière des API Key
- Alertes sur les requêtes anormales
- Séparation des API Key par activité métier pour faciliter l’audit
Que faire en cas de fuite
- Désactivez ou supprimez immédiatement l’API Key compromise
- Créez une nouvelle API Key et mettez à jour la configuration du service
- Recherchez la source de la fuite, par exemple un dépôt de code, des journaux, une exposition côté frontend ou une diffusion via capture d’écran
Ce guide vous a-t-il aidé ?
Dernière mise à jour le
Page de tarification
Lors du choix d’un modèle, ne regardez pas seulement son nom, mais aussi ses capacités, son coût, son groupe et son usage réel
Paramètres de notification et alertes de quota
Recevoir à l’avance des alertes sur le solde ou les anomalies est plus important que d’attendre qu’un problème de service survienne avant d’enquêter