Panoramica delle chiavi API

Una chiave API è una semplice stringa criptata che puoi utilizzare quando chiami le API Google Cloud . Un uso tipico di una chiave API consiste nel passarla a una chiamata API REST come parametro di query con il seguente formato:

http://example-library.googleapis.com/v1/publishers/mypublisher/books?key=API_KEY
 Le chiavi API sono utili per accedere ai dati pubblici in modo anonimo e vengono utilizzate per associare le richieste API al progetto Google Cloud consumer per quote e fatturazione.

API Keys fornisce un'interfaccia programmatica per creare e gestire le chiavi API per il tuo progetto. Ti offre un maggiore controllo sulle chiavi API rispetto alle attività correlate alle chiavi API che puoi svolgere nella Google Cloud console.

Per saperne di più sull'autenticazione nelle API di Google Cloud e per determinare la strategia di autenticazione migliore per gli scenari comuni, vedi Panoramica dell'autenticazione. Per scoprire di più sull'utilizzo delle chiavi API per le API e gli SDK di Google Maps Platform, consulta la documentazione di Google Maps Platform.

Protezione di una chiave API

Quando utilizzi le chiavi API nelle tue applicazioni, assicurati che siano protette durante l'archiviazione e la trasmissione. L'esposizione pubblica delle tue credenziali può comportare la compromissione del tuo account, che potrebbe comportare addebiti imprevisti sul tuo account. Per proteggere le tue chiavi API, segui queste best practice:

  • Non incorporare le chiavi API direttamente nel codice. Le chiavi API incorporate nel codice possono essere esposte accidentalmente al pubblico. Ad esempio, potresti dimenticarti di rimuovere le chiavi dal codice che condividi. Anziché incorporare le chiavi API nelle applicazioni, memorizzale in variabili di ambiente o in file esterni all'albero di origine dell'applicazione.

  • Aggiungi limitazioni alla chiave API. Aggiungendo limitazioni, puoi ridurre l'impatto di una chiave API compromessa.

  • Elimina le chiavi API non necessarie per ridurre al minimo l'esposizione agli attacchi.

  • Ruota periodicamente le chiavi API. Per ruotare le chiavi API, chiama il metodo CreateKey. Dopo aver creato le chiavi di sostituzione, aggiorna le applicazioni in modo che utilizzino le chiavi appena generate ed elimina le chiavi precedenti.

  • Controlla il codice prima di rilasciarlo pubblicamente. Assicurati che il codice non contenga chiavi API o altre informazioni private prima di renderlo disponibile pubblicamente.

Passaggi successivi