Adicionar restrições da chave de API à sua chave
Ao adicionar restrições, é possível limitar como uma chave de API pode ser usada, reduzindo o impacto de uma chave de API comprometida.
Para mais informações, consulte Aplicar restrições de chave de API.
Evitar o uso de parâmetros de consulta para fornecer sua chave de API às APIs do Google
Fornecer sua chave de API às APIs como um parâmetro de consulta a inclui no URL, expondo sua chave a roubo por verificações de URL. Use o cabeçalho HTTP
x-goog-api-key
ou uma biblioteca de cliente
em vez disso.
Excluir chaves de API desnecessárias para minimizar a exposição a ataques
Mantenha apenas as chaves de API que você está usando para manter a superfície de ataque o menor possível.
Não incluir chaves de API no código do cliente nem confirmar em repositórios de código
Chaves de API codificadas no código-fonte ou armazenadas em um repositório estão sujeitas a interceptação ou roubo por usuários mal-intencionados. O cliente precisa transmitir solicitações ao servidor, que pode adicionar a credencial e emitir a solicitação.
Não usar chaves de autorização na produção
As chaves de autorização foram projetadas para acelerar a experiência inicial dos desenvolvedores que exploram Google Cloud APIs. Para a maioria das APIs, recomendamos não usar chaves de autorização em ambientes de produção.
Em vez disso, planeje a migração para alternativas mais seguras como políticas de gerenciamento de identidade e acesso (IAM) e credenciais de conta de serviço de curta duração, seguindo as práticas de segurança de privilégios mínimos.
Confira por que você precisa migrar do uso de uma chave de autorização para práticas mais seguras o mais rápido possível:
As chaves de API são enviadas junto com as solicitações. Isso aumenta a probabilidade de a chave ser exposta ou registrada.
As chaves de API são credenciais de portador. Isso significa que, se alguém roubar uma chave de autorização, poderá usá-la para autenticar como essa conta de serviço e acessar os mesmos recursos que a conta de serviço pode.
As chaves de autorização ocultam a identidade do usuário final nos registros de auditoria. Para acompanhar as ações de usuários individuais, verifique se cada usuário tem o próprio conjunto de credenciais.
Implementar monitoramento e geração de registros eficientes
O monitoramento do uso da API pode ajudar a alertar sobre uso não autorizado. Para mais informações, consulte a Visão geral do Cloud Monitoring e a Visão geral do Cloud Logging.
Isolar chaves de API
Forneça a cada membro da equipe a própria chave de API para cada aplicativo. Isso pode ajudar a controlar o acesso, fornecer uma trilha de auditoria e reduzir o impacto de uma chave de API comprometida.
Girar as chaves de API periodicamente
Crie periodicamente novas chaves de API, atualize os aplicativos para usar as novas chaves e exclua as antigas.
Para mais informações, consulte Girar uma chave de API.
Considerar um método mais seguro de autorização de acesso
Para saber como escolher um método de autenticação, consulte Métodos de autenticação.