APIキーとは何ですか？

APIの利用者を識別するための秘密の文字列。認証とアクセス制御に使われる。

APIキーのポイントは？

API利用時にリクエストに含めて送信する。環境変数やシークレットマネージャーで安全に管理。GitHubに公開すると不正利用される（頻発するインシデント）。レート制限と利用量の追跡に使用される

【えーぴーあいきー】

APIキーとは？

💡 APIを使うための「合言葉」

📌 このページのポイント

API利用時にリクエストに含めて送信する
環境変数やシークレットマネージャーで安全に管理
GitHubに公開すると不正利用される（頻発するインシデント）
レート制限と利用量の追跡に使用される

APIキーを使った認証と許可・拒否の流れ

ひよこ

APIキーってどう使うの？

ペンギン先生

APIリクエストのヘッダやクエリパラメータに含めて送信するよ。例えば「Authorization: Bearer sk-abc123...」のように。サービス側はこのキーで「誰のリクエストか」を識別して、利用量の計測やアクセス制御を行うんだ

ひよこ

APIキーを漏洩させたらどうなるの？

ペンギン先生

不正利用で高額な請求が来ることがあるよ。AWS のアクセスキーがGitHubに公開されて、数百万円のEC2インスタンスを立てられた事例は有名。OpenAI のAPIキーを漏洩させて大量のトークンを消費されるケースも多い。漏洩に気づいたら即座にキーを無効化（ローテーション）しよう

ひよこ

安全な管理方法は？

ペンギン先生

①環境変数（.envファイル）に保存してコードに直書きしない、②.gitignoreに.envを追加してGitにコミットしない、③本番環境ではAWS Secrets ManagerやVaultで管理、④GitHub Secret ScanningやGitGuardianで漏洩を自動検知。「コードにシークレットを書かない」は鉄則だよ

ひよこ

APIキーとOAuthの違いは？

ペンギン先生

APIキーは「アプリケーション」を識別する。OAuthは「ユーザー」の権限を委譲する。APIキーは単純だけど権限の細かい制御が難しく、漏洩時のリスクも高い。ユーザーデータを扱うAPIはOAuth、サーバー間のAPI呼び出しにはAPIキーという使い分けが一般的だね

まとめ：ざっくりこれだけ覚えればOK！

「APIキー」って出てきたら「APIを使うための認証用の秘密文字列」と思えればだいたいOK！

📖 おまけ：英語の意味

「API Key」＝ APIキー

💬 API（アプリケーション連携の窓口）にアクセスするためのKey（鍵）だよ

← 用語集にもどる

APIキー とは？

APIキーとは？