APIキー(API Key)は、API呼び出し者が誰か、どのアカウントに課金するかを識別するための秘密文字列です。通常HTTPヘッダ(x-api-key、Authorization: Bearer ...)に載せ、リクエストごとに一緒に送られます。

LLM APIではキー1枚がそのまま財布です。漏洩すると第三者が自分のアカウントでトークンを消費し、請求書が飛んできます。ですからコードにハードコードせず、環境変数・Secrets Managerで管理し、GitHubに上げる際は.envを必ずgitignoreに入れる必要があります。

Anthropic・OpenAIともキーにrate limitと月次予算上限を設定できるので、キーを複数に分割しプロジェクトごとに上限を変えると事故防御に有効です。呼び出し構造はP2. APIでLLMを呼ぶとはを参照。

→ 1次ソース: Anthropic · Getting started (API keys)