Home Arrow Icon Knowledge base Arrow Icon Global Arrow Icon Használhatok-e OpenAI API-kulcsokat tokenkiszolgálókkal a jobb biztonság érdekében?


Használhatok-e OpenAI API-kulcsokat tokenkiszolgálókkal a jobb biztonság érdekében?


A keresési eredmények alapján íme, az OpenAI API-kulcsok tokenszerverekkel való használatának kulcsfontosságú pontjai a jobb biztonság érdekében:

Az OpenAI API-kulcsokkal kapcsolatos fő biztonsági aggályok az, hogy ha a kulcs nyilvánosságra kerül, bárki használhatja OpenAI-fiókjához, és költségekkel járhat. Ennek a kockázatnak a csökkentése érdekében a keresési eredmények több megközelítést javasolnak:

1. Használjon környezeti változókat vagy titkos kezelési szolgáltatásokat, például az AWS Secrets Managert, a HashiCorp Vaultot vagy a CyberArk Conjur-t, hogy biztonságosan tárolja az API-kulcsot a szerver oldalon, ahelyett, hogy beágyazná az ügyféloldali kódba.[1][3]

2. Valósítson meg egy köztes szoftver API-t a saját szerverén, amely kezeli az OpenAI API-hívásait, így az API-kulcs soha nem lesz elérhető az ügyfél számára.[3]

3. Használjon átjárószolgáltatást, például a Zuplo-t, amely proxyként működik, biztonságosan tárolja az API-kulcsot, és hozzáadja a szükséges engedélyezési fejléceket, mielőtt továbbítja a kérést az OpenAI-nak.[4]

4. Az API-kulcs engedélyeit csak a szükséges végpontokra korlátozza, ahelyett, hogy korlátlan kulcsot használna.[2]

5. Rendszeresen forgassa el az API-kulcsot, és frissítse a szolgáltatásokat a régi kulcs használatával.[3]

Összefoglalva tehát az ajánlott megközelítés egy tokenkiszolgáló vagy köztesszoftver API használata az OpenAI API-kulcs biztonságos kezeléséhez, ahelyett, hogy közvetlenül az ügyfélalkalmazásoknak tenné ki. Ez további biztonsági réteget biztosít, és szabályozza, hogy ki férhet hozzá az API-hoz.[1][3][4]

Idézetek:
[1] https://www.gitguardian.com/remediation/openai-api-key
[2] https://community.openai.com/t/bring-your-own-key-policy/446168
[3] https://community.openai.com/t/web-implentation-and-keeping-the-api-key-private/150422
[4] https://zuplo.com/blog/2023/02/27/protect-open-ai-api-keys
[5] https://community.openai.com/t/is-this-allowed-this-bring-your-own-key-usage/161185