OpenAI
หน้านี้แปลด้วยระบบอัตโนมัติ ดูต้นฉบับภาษาอังกฤษ.

แนวทางปฏิบัติที่ดีที่สุดสำหรับความปลอดภัยของ API Key

อัปเดตล่าสุด: 6 days ago

1. ใช้ API key ที่ไม่ซ้ำกันสำหรับสมาชิกแต่ละคนในบัญชีของคุณเสมอ

API key คือรหัสเฉพาะที่ใช้ระบุคำขอของคุณไปยัง API API key ของคุณมีไว้สำหรับให้คุณใช้งาน การแชร์ API key ขัดต่อข้อตกลงการใช้งาน

เมื่อคุณเริ่มทดลองใช้งาน คุณอาจต้องการขยายสิทธิ์เข้าถึง API ให้กับทีมของคุณ OpenAI ไม่รองรับการแชร์ API key โปรดเชิญสมาชิกใหม่เข้าบัญชีของคุณจากหน้าMembers และพวกเขาจะได้รับkeyเฉพาะของตนเองอย่างรวดเร็วเมื่อเข้าสู่ระบบ คุณยังสามารถกำหนดสิทธิ์ให้ API แต่ละ key ได้เช่นกัน

2. อย่านำ key ของคุณไปใช้งานในสภาพแวดล้อมฝั่งไคลเอนต์ เช่น เบราว์เซอร์หรือแอปมือถือ

การเปิดเผย OpenAI API key ของคุณในสภาพแวดล้อมฝั่งไคลเอนต์ เช่น เบราว์เซอร์หรือแอปมือถือ ทำให้ผู้ไม่หวังดีสามารถนำ key นั้นไปใช้ส่งคำขอในนามของคุณได้ ซึ่งอาจนำไปสู่ค่าใช้จ่ายที่ไม่คาดคิดหรือการรั่วไหลของข้อมูลบางส่วนในบัญชี คำขอควรถูกส่งผ่านเซิร์ฟเวอร์แบ็กเอนด์ของคุณเองเสมอ ซึ่งเป็นที่ที่คุณสามารถเก็บ API key ของคุณให้ปลอดภัยได้

3. อย่า commit key ของคุณลงใน Repository

การ commit API key ลงในซอร์สโค้ดเป็นช่องทางทั่วไปที่ทำให้ข้อมูลรับรองรั่วไหล สำหรับผู้ที่มี Repository สาธารณะ นี่เป็นวิธีที่พบบ่อยที่คุณอาจแชร์ key ของคุณกับอินเทอร์เน็ตโดยไม่รู้ตัว Repository ส่วนตัวมีความปลอดภัยมากกว่า แต่การรั่วไหลของข้อมูลก็อาจทำให้ key ของคุณหลุดออกไปได้เช่นกัน ด้วยเหตุผลเหล่านี้ เราขอแนะนำอย่างยิ่งให้ใช้ environment variables เป็นมาตรการเชิงรุกเพื่อความปลอดภัยของ key

4. ใช้ Environment Variables แทน API key ของคุณ

environment variable คือตัวแปรที่ตั้งค่าไว้ในระบบปฏิบัติการของคุณ แทนที่จะอยู่ภายในแอปพลิเคชันของคุณ มันประกอบด้วยชื่อและค่า เราแนะนำให้คุณตั้งชื่อตัวแปรเป็น OPENAI_API_KEY การคงชื่อตัวแปรนี้ให้สอดคล้องกันทั้งทีม จะช่วยให้คุณ commit และแชร์โค้ดได้โดยไม่เสี่ยงต่อการเปิดเผย API key ของคุณ

การตั้งค่าบน Windows

ตัวเลือก 1: ตั้งค่า Environment Variable ‘OPENAI_API_KEY’ ผ่าน cmd prompt

รันคำสั่งต่อไปนี้ใน cmd prompt โดยแทนที่ <yourkey> ด้วยAPI keyของคุณ:

setx OPENAI_API_KEY "<yourkey>"

การตั้งค่านี้จะมีผลกับหน้าต่าง cmd prompt ที่เปิดในอนาคต ดังนั้นคุณจะต้องเปิดหน้าต่างใหม่เพื่อใช้ตัวแปรนี้กับ curl คุณสามารถตรวจสอบได้ว่าตั้งค่าตัวแปรนี้แล้วหรือไม่ โดยเปิดหน้าต่าง cmd prompt ใหม่และพิมพ์ 

echo %OPENAI_API_KEY%

ตัวเลือก 2: ตั้งค่า Environment Variable ‘OPENAI_API_KEY’ ผ่าน Control Panel

1. เปิดคุณสมบัติ System และเลือก Advanced system settings

Windows 10 System settings with Advanced system settings highlighted in Control Panel

2. เลือก Environment Variables...

Windows System Properties Advanced tab with Environment Variables button highlighted

3. เลือก New… จากส่วน User variables (ด้านบน) เพิ่มคู่ชื่อ/ค่า โดยแทนที่ <yourkey> ด้วยAPI keyของคุณ

ชื่อตัวแปร: OPENAI_API_KEY
ค่าตัวแปร: <yourkey>

การตั้งค่าบน Linux / MacOS

ตัวเลือก 1: ตั้งค่า Environment Variable ‘OPENAI_API_KEY’ โดยใช้ zsh

1. รันคำสั่งต่อไปนี้ในเทอร์มินัลของคุณ โดยแทนที่ yourkey ด้วยAPI keyของคุณ 

echo "export OPENAI_API_KEY='yourkey'" >> ~/.zshrc

2. อัปเดต shell ด้วยตัวแปรใหม่:

source ~/.zshrc

3. ยืนยันว่าคุณได้ตั้งค่า environment variable แล้วด้วยคำสั่งต่อไปนี้ 

echo $OPENAI_API_KEY

ค่าของ API key ของคุณจะเป็นผลลัพธ์ที่แสดง

ตัวเลือก 2: ตั้งค่า Environment Variable ‘OPENAI_API_KEY’ โดยใช้ bash

ทำตามคำแนะนำในตัวเลือก 1 โดยแทนที่ .zshrc ด้วย .bash_profile.

เรียบร้อยแล้ว! ตอนนี้คุณสามารถอ้างอิง key นี้ใน curl หรือโหลดใน Python ของคุณได้:

import os
import openai
 
openai.api_key = os.environ["OPENAI_API_KEY"]

5. ใช้บริการจัดการคีย์

มีผลิตภัณฑ์หลากหลายที่พร้อมใช้งานสำหรับจัดการ API key ลับอย่างปลอดภัย เครื่องมือเหล่านี้ช่วยให้คุณควบคุมการเข้าถึง key ของคุณและปรับปรุงความปลอดภัยของข้อมูลโดยรวม ในกรณีที่แอปพลิเคชันของคุณเกิดการรั่วไหลของข้อมูล key ของคุณจะไม่ถูกเปิดเผย เนื่องจากจะถูกเข้ารหัสและจัดการไว้ในตำแหน่งที่แยกออกจากกันโดยสิ้นเชิง

สำหรับทีมที่นำแอปพลิเคชันไปใช้งานจริง เราแนะนำให้พิจารณาใช้หนึ่งในบริการเหล่านี้

6. ติดตามการใช้งานบัญชีของคุณและหมุนเวียน key เมื่อจำเป็น

API key ที่รั่วไหลทำให้ผู้อื่นเข้าถึงโควต้าบัญชีของคุณได้โดยไม่ได้รับความยินยอม ซึ่งอาจส่งผลให้ข้อมูลสูญหาย ค่าใช้จ่ายที่ไม่คาดคิด โควต้ารายเดือนหมดลง และการเข้าถึง API ของคุณหยุดชะงัก

คุณสามารถติดตาม Usage ของทีมได้ผ่านหน้าUsage หากคุณกังวลเกี่ยวกับการใช้งานในทางที่ผิด มีการดำเนินการบางอย่างที่คุณสามารถทำได้เพื่อปกป้องบัญชีของคุณ:

  • ตรวจสอบการใช้งานของคุณเพื่อดูว่าสอดคล้องกับงานของทีมคุณหรือไม่ สำหรับผู้ใช้ที่อยู่หลายองค์กร (เช่น องค์กรและส่วนตัว) โปรดตรวจสอบว่าผู้ใช้ได้เปิดใช้การติดตามและตั้งค่าองค์กรเริ่มต้นสำหรับการใช้งานและการติดตามแล้ว

  • หากคุณเชื่อว่า key ของคุณรั่วไหล ให้หมุนเวียน key ของคุณทันทีจากหน้าAPI Keys สำหรับลูกค้าที่มีแอปพลิเคชันใช้งานจริง คุณจะต้องอัปเดตค่า key ของคุณให้สอดคล้องกัน

  • ติดต่อเราผ่านhelp.openai.comเพื่อให้ตรวจสอบเพิ่มเติม

7. จำกัดการเข้าถึง API ด้วยการอนุญาตตามรายการ IP

การอนุญาตตามรายการ IP ช่วยให้คุณจำกัดได้ว่าที่อยู่ IP ใดบ้างที่สามารถเข้าถึง OpenAI API ของคุณได้ เมื่อเปิดใช้งานแล้ว จะอนุญาตเฉพาะคำขอจากที่อยู่ IP หรือช่วง IP ที่กำหนดไว้เท่านั้น และจะปฏิเสธคำขออื่นทั้งหมด แม้ว่าจะมี API key ที่ถูกต้องก็ตาม

สิ่งนี้เพิ่มชั้นการป้องกันอีกระดับ โดยทำให้มั่นใจได้ว่า API ของคุณจะเข้าถึงได้จากโครงสร้างพื้นฐานที่เชื่อถือได้เท่านั้น เช่น เซิร์ฟเวอร์แบ็กเอนด์หรือสภาพแวดล้อมคลาวด์ของคุณ

สำหรับข้อมูลเพิ่มเติม โปรดดูบทความ IP allowlisting for the OpenAI API

บทความนี้มีประโยชน์หรือไม่