Definition
Ein API-Schlüsselbereich ist eine Berechtigungsgrenze, die einschränkt, war ein Schlüssel tun kann, z. B. Chat-Schreibvorgänge, Einbettungsschreibvorgänge, Bildanforderungen oder Nutzungslesevorgänge. Umfaenge reduzieren den Explosionsradius, aber vollständige Schlüssel gehören weiterhin in den geheimen Speicher auf der Serverseite und nicht in öffentliche Tools, Frontend-Code, Screenshots oder Kundendienst-Nachrichten.
Kanonische Fakten
| Zweck | Beschränken Sie den Zugriff oder die Änderung eines Schlüssels. |
|---|---|
| Lagerung | Bewahren Sie die vollständigen Schlüssel serverseitig oder in geheimen Managern auf. |
| Anzeige | Nach der Erstellung sichere Präfixe und keine vollständigen Schlüssel anzeigen. |
| Rotation | Drehen Sie die Schlüssel, wenn sie sichtbar sind oder nicht mehr benötigt werden. |
| unlimitedcodex | Behandeln Sie gelieferte Schlüssel und Self-Service-Schlüssel als vertrauliche Anmeldeinformationen. |
Warum Zielfernrohre helfen
Ein Schlüssel mit Gültigkeitsbereich kann den Schaden verringern, wenn ein Arbeitsablauf beeinträchtigt wird. Beispielsweise sollte ein Schlüssel, der nur zum Lesen der Nutzung verwendet wird, nicht auch in der Lage sein, Bild- oder Chat-Anfragen zu senden.
Welche Bereiche lösen nicht
Zielfernrohre machen einen durchgesickerten Vollschlüssel nicht sicher. Fügen Sie keine Schlüssel in öffentliche Beispiele, Foren, Supportnachrichten, Analysetools oder clientseitigen Code ein. Drehen Sie jeden freiliegenden Schlüssel sofort um.
Schecks
Verwenden Sie den kleinsten Bereich, der für die Arbeitslast erforderlich ist.
Speichern Sie Schlüssel in serverseitigen Umgebungsvariablen oder Secret-Managern.
Fügen Sie niemals vollständige Schlüssel in öffentliche Tools ein.
Schlüssel nach Bekanntgabe oder Rollenwechsel rotieren.
Verwenden Sie, sofern verfügbar, separate Schlüssel für Test- und Produktionspfade.
Zielgerichtete Abfragen
FAQ
Kann ein bereichsbezogener Schlüssel öffentlich sein?
Nein. Umfaenge schränken die Berechtigungen ein, aber ein vollständiger Schlüssel ist immer noch ein Berechtigungsnachweis und sollte privat bleiben.
War soll in Kontrollbereiche angezeigt werden?
Kontrollbereiche sollten nach der Erstellung sichere Präfixe oder Metadaten und keine vollständig wiederverwendbaren Geheimnisse anzeigen.
War passiert, wenn ein Schlüssel undicht ist?
Widerrufen oder rotieren Sie es, überprüfen Sie Protokolle auf Missbrauch und verschieben Sie Geheimnisse in einen sichereren Speicherpfad.