Présentation des clés API

Une clé API est une simple chaîne chiffrée que vous pouvez utiliser lors de l'appel d'APIGoogle Cloud . Une utilisation type d'une clé API consiste à la transmettre dans un appel d'API REST en tant que paramètre de requête au format suivant :

http://example-library.googleapis.com/v1/publishers/mypublisher/books?key=API_KEY
 Les clés API permettent d'accéder aux données publiques de manière anonyme et d'associer des requêtes API au projet Google Cloud du consommateur pour les quotas et la facturation.

Les clés API vous fournissent une interface de programmation pour créer et gérer les clés API de votre projet. Il vous offre plus de contrôle sur les clés API que les tâches liées aux clés API que vous pouvez effectuer dans la console Google Cloud .

Pour en savoir plus sur l'authentification auprès des API Google Cloud et déterminer la meilleure stratégie d'authentification pour les scénarios courants, consultez la page Présentation de l'authentification. Pour en savoir plus sur l'utilisation des clés API pour les API et les SDK Google Maps Platform, consultez la documentation de Google Maps Platform.

Sécuriser une clé API

Lorsque vous utilisez des clés API dans vos applications, assurez-vous qu'elles sont protégées lors du stockage et de la transmission. L'exposition publique de vos identifiants peut compromettre votre compte, ce qui pourrait entraîner des frais inattendus. Pour contribuer à la sécurité de vos clés API, appliquez les bonnes pratiques suivantes :

  • N'intégrez pas les clés API directement dans le code. Les clés API intégrées dans le code peuvent être exposées au public par accident. Par exemple, vous pouvez oublier de supprimer les clés du code que vous partagez. Au lieu d'intégrer vos clés API dans vos applications, stockez-les dans des variables d'environnement ou dans des fichiers hors de l'arborescence source de l'application.

  • Ajoutez des restrictions à la clé API. En ajoutant des restrictions, vous pouvez réduire l'impact d'une clé API compromise.

  • Supprimez les clés API inutiles pour réduire l'exposition aux attaques.

  • Effectuez une rotation de vos clés API régulièrement. Pour alterner vos clés API, appelez la méthode CreateKey. Une fois les clés de remplacement créées, mettez à jour vos applications pour qu'elles utilisent les nouvelles clés générées et supprimez les anciennes.

  • Vérifiez le code avant de le publier. Assurez-vous qu'il ne contient aucune clé API ou autre information privée avant de le rendre accessible au public.

Étapes suivantes