APIキーと監査
プランでの利用可否。 API/MCP 操作は、ダッシュボードと同じプラン割り当てと機能権限に従います。公開 API には、IP ごとに 1 分あたり 800 リクエストのシステム全体レート制限があります。Audit Log の表示と監査エクスポートは Premium と Enterprise の機能です。
対象ユーザー
このページは、APIアクセスを安全に付与し、重要な変更の運用記録を保持する必要がある管理者とアカウントオーナー向けです。
始める前に
- アカウントの管理者レベルの権限があることを確認してください。
- APIキーが一時的なインテグレーション、長期実行ワークフロー、別チームへの引き継ぎのいずれに向けたものかを決めてください。
- 監査プロセスでどの運用イベントが最も重要かを把握してください。
やること — APIキーを作成し監査ログを確認する
- 設定 > インテグレーション > APIキー(
/app/settings/api-keys)を開き、明確に定義されたユースケースのためにのみキーを作成します。 - 永続的な未管理の認証情報ではなく、可能な限り有効期限やライフサイクルの期待値を適用します。
- 作成後すぐにキーをターゲットシステムにコピーします。キーは一度だけ表示され、ダイアログを閉じた後は取得できません。
- 設定 > セキュリティ > 監査ログ(
/app/settings/audit)を開き、設定更新や管理アクションなどの重要な運用変更を確認します。 - プロジェクト終了時、所有権変更時、古いアクセス境界を信頼できなくなった時にキーを失効または更新します。
効果的に使う — APIキーセキュリティのベストプラクティス
- APIキーはユーザーが管理する認証情報ですが、実装に関する質問は開発者ドキュメントに属します。
- 監査の可視性は、明確な所有モデルと組み合わせた時に最も有用です。レビュープロセスを誰も所有していない場合、データは保護的ではなく受動的になります。
- 短期間のキーと明示的なプロジェクト命名により、後の調査時の混乱を減らせます。