יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

שיטות מומלצות לניהול מפתחות API

בזמן השימוש במפתחות API באפליקציות שלכם, צריך לוודא שהן מאובטחות במהלך האחסון ובמהלך ההעברה. חשיפת מפתחות ה-API באופן ציבורי עלולה לגרום לחיובים לא צפויים בחשבון שלכם או לגישה לא מורשית לנתונים שלכם. כדי לוודא שמפתחות ה-API מאובטחים, כדאי לפעול לפי השיטות המומלצות הבאות.

הוספת הגבלות על מפתחות API למפתח

הוספת הגבלות מאפשרת להגביל את דרכי השימוש במפתח API, וכך לצמצם את ההשפעה של מפתח API שנמצא בסיכון.

מידע נוסף זמין במאמר בנושא החלת הגבלות על מפתחות API.

מומלץ להימנע משימוש בפרמטרים של שאילתות כדי לספק את מפתח ה-API ל-Google APIs

אם מעבירים את מפתח ה-API לממשקי API כפרמטר של שאילתה, מפתח ה-API נכלל בכתובת ה-URL, ולכן הוא חשוף לגניבה באמצעות סריקות של כתובות URL. במקום זאת, צריך להשתמש בx-goog-api-key כותרת HTTP או בספריית לקוח.

למחוק מפתחות API שכבר לא נחוצים, כדי לצמצם את החשיפה להתקפות

כדי לצמצם ככל האפשר את שטח הפנים של המתקפה, כדאי לשמור רק את מפתחות ה-API שבהם אתם משתמשים באופן פעיל.

אל תכללו מפתחות API בקוד לקוח ואל תבצעו קומיט שלהם למאגרי קוד

גורמים זדוניים יכולים ליירט או לגנוב מפתחות API שמוצפנים בקוד המקור או שמאוחסנים במאגר. הלקוח צריך להעביר בקשות לשרת, שיכול להוסיף את פרטי הכניסה ולהנפיק את הבקשה.

אל תשתמשו במפתחות הרשאה בסביבת הייצור

מפתחות הרשאה נועדו לשפר את חוויית השימוש הראשונית של מפתחים שבודקים ממשקי API. Cloud de Confiance by S3NS ברוב ממשקי ה-API, מומלץ לא להשתמש במפתחות הרשאה בסביבות ייצור.

במקום זאת, כדאי לתכנן מעבר לחלופות בטוחות יותר כמו מדיניות ניהול זהויות והרשאות גישה (IAM) ופרטי כניסה לטווח קצר לחשבון שירות, בהתאם לשיטות מומלצות לאבטחה עם הרשאות מינימליות.

כדאי לעבור משימוש במפתח הרשאה לשיטות מאובטחות יותר בהקדם האפשרי, כי:

מפתחות API נשלחים יחד עם הבקשות. כך גדל הסיכוי שהמפתח ייחשף או יתועד.
מפתחות API הם פרטי כניסה מסוג bearer. המשמעות היא שאם מישהו גונב מפתח הרשאה, הוא יכול להשתמש בו כדי לבצע אימות כחשבון השירות הזה ולגשת לאותם משאבים שחשבון השירות יכול לגשת אליהם.
מפתחות הרשאה מסתירים את הזהות של משתמש הקצה ביומני ביקורת. כדי לעקוב אחרי הפעולות של משתמשים ספציפיים, צריך לוודא שלכל משתמש יש מערכת משלו של פרטי כניסה.

הטמעה של מעקב ורישום ביומן

מעקב אחר השימוש ב-API יכול לעזור לכם לקבל התראות על שימוש לא מורשה. מידע נוסף זמין במאמרים סקירה כללית על Cloud Monitoring וסקירה כללית על Cloud Logging.

בידוד מפתחות API

צריך לספק לכל אחד מחברי הצוות מפתח API משלו לכל אפליקציה. ההגבלות האלה יכולות לעזור לשלוט בגישה, לספק נתיב ביקורת ולהפחית את ההשפעה של מפתח API שנמצא בסיכון.

מבצעים רוטציה של מפתחות ה-API מדי פעם

כדאי ליצור מדי פעם מפתחות API חדשים, לעדכן את האפליקציות כך שישתמשו במפתחות ה-API החדשים ולמחוק את המפתחות הישנים.

מידע נוסף מופיע במאמר החלפת מפתח API.

כדאי לשקול שיטה מאובטחת יותר לאישור הגישה

לקבלת עזרה בבחירת שיטת אימות, אפשר לעיין במאמר בנושא שיטות אימות.