Antigravity Agent
2.4 KiB
2.4 KiB
id, category, confidence_score, tags, last_reinforced
| id | category | confidence_score | tags | last_reinforced | ||||||
|---|---|---|---|---|---|---|---|---|---|---|
| P-REINFORCE-AUTO-APKE-001 | 10_Wiki/💡 Topics/AI | 0.99 |
|
2026-04-20 |
API-Key-Management
📌 한 줄 통찰 (The Karpathy Summary)
"지능의 열쇠를 지키는 법: 외부 서비스를 이용하기 위한 디지털 신분증인 API Key를 안전하게 보관하고, 유출 시 즉시 폐기하며, 권한을 최소화하여 관리하는 현대 개발의 가장 기초적인 보안 성벽."
📖 구조화된 지식 (Synthesized Content)
API 키 관리(API-Key-Management)는 애플리케이션 프로그래밍 인터페이스를 통해 서비스에 접근할 때 필요한 인증 정보(Secrets)를 생성, 배포, 폐기 및 모니터링하는 일련의 보안 프로세스입니다.
- 3대 보안 수칙:
- Never Commit: 절대 소스 코드(Git)에 API Key를 포함하지 않음.
.env파일을 사용하고.gitignore에 등록 필수. - Principle of Least Privilege: 키마다 필요한 최소한의 권한(Scope)만 부여하고, 특정 IP나 도메인에서만 작동하도록 제한.
- Rotation: 정기적으로 키를 교체하여 만약의 유출 피해 최소화.
- Never Commit: 절대 소스 코드(Git)에 API Key를 포함하지 않음.
- 유출 시 대응 워크플로우:
- 키 즉시 무효화(Revoke) -> 새로운 키 생성 -> 환경 변수 업데이트 -> 유출 범위 및 비용 발생 확인(Audit).
⚠️ 모순 및 업데이트 (Contradictions & RL Update)
- 과거 데이터와의 충돌: 과거에는 하드코딩된 키로 인해 대규모 유출 사고가 빈번했으나, 현대의 클라우드 인프라 정책은 'Secret Manager'를 통한 중앙 집중식 자동 관리 정책을 표준으로 삼음(RL Update).
- 정책 변화(RL Update): AI 에이전트의 자율적 도구 활용 정책이 늘어남에 따라, 에이전트가 API 키를 직접 다루지 않고 안전하게 대리 요청(Proxy)하는 '에이전틱 키 거버넌스 정책'이 중요해짐.
🔗 지식 연결 (Graph)
- Workflow-Integrity, Safety & Reliability, Agent Architecture, Tool-Usage-Optimization, Technical-Architecture
- Modern Tech/Tools: GitHub Secret Scanning, HashiCorp Vault, AWS Secrets Manager.