検索結果に基づいて、セキュリティを向上させるためにトークンサーバーを備えたOpenAI APIキーを使用する重要なポイントを次に示します。
Openai APIキーに関する主なセキュリティの懸念は、キーが公開されている場合、誰でもOpenAIアカウントにアクセスして料金が発生するために使用できることです。このリスクを軽減するために、検索結果はいくつかのアプローチを推奨しています。
1. AWS Secrets Manager、Hashicorp Vault、Cyberark Converのような環境変数または秘密管理サービスを使用して、クライアント側のコードに埋め込むのではなく、サーバー側にAPIキーを安全に保存します。[1] [3]
2. API呼び出しをOpenAIに処理するミドルウェアAPIを独自のサーバーに実装するため、APIキーはクライアントに公開されません。[3]
3.プロキシとして機能し、APIキーを安全に保存し、Openaiにリクエストを転送する前に必要な承認ヘッダーを追加することができるZuploのようなゲートウェイサービスを使用します[4]
4.無制限のキーを使用するのではなく、APIキーの権限を必要なエンドポイントのみに制限します。[2]
5. APIキーを定期的に回転させ、古いキーを使用してサービスを更新します。[3]
要約すると、推奨されるアプローチは、クライアントアプリケーションに直接公開するのではなく、トークンサーバーまたはミドルウェアAPIを使用してOpenAI APIキーを安全に管理することです。これにより、セキュリティの追加レイヤーが提供され、誰がAPIにアクセスできるかを制御します。[1] [3] [4]
引用:[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-key-usage/161185