Managing DeepL API Keys - Security and Access Best Practices

Рекомендация: Rotate DeepL API keys on a fixed period that aligns with your compliance window and keep them out of source code to protect translations and data.

During onboarding, create distinct keys for each environment (dev, staging, production) and attach them to minimal-scoped permissions. Use a secrets manager or vault and reference keys via environment variables, not in file-based configurations. This reduces risk if a key is compromised.

Store keys securely during deployment by injecting them at runtime rather than baking them into images.

Best practice is to select keys with restricted IP ranges, enable usage logs, and revoke access quickly when roles change. Regular audits should verify that the activity aligns with the intended scope and that translated requests originate from trusted services.

Rotate keys every 30 days or according to a defined period, and record their creation date in your inventory. Maintain an owner for each key and set alert rules for unusual usage patterns, especially around translations that involve sensitive data.

Avoid embedding keys in a file tracked by version control. Instead rely on a secrets store and reference keys at runtime. In docs, you can mention sheetsl,falsefalsefalsesource as a placeholder to illustrate where keys would appear without exposing them.

For automation, map access with gmbhauthormaltego in your credentials vault to align with the correct DeepL account, and ensure this mapping is reviewed quarterly.

When you need to revoke access, clicking a single revoke action should immediately disable the key, and your deployment should switch to a fresh key without downtime. Validate the change by sending a test translation request and confirming the response is translated correctly by your service.

Keep an audit trail in your info portal, and document the ownership and purpose for every key so that their translations remain traceable. This makes it easy to scale access control as your team grows and your translations volume increases.

Securely storing keys with environment variables and secret managers

Store the DeepL API key in a secret manager and reference it via an environment variable at runtime; never embed the key in code or configuration files.

Environment variables

• Define a specified variable name, for example keystring or DEEPL_API_KEY, and load it through your deployment configuration rather than hard-coding the value.
• Inject the value at startup and avoid displaying it in logs or dashboards; mask the display in all user interfaces.
• Keep separate keys for each environment (original and current) to enable safe deactivation and quick rollback during rotation.
• For local development, use a .env or local profile that is excluded from version control; during build, pull from the secret store instead of embedding the value.
• Avoid exposing by clicking or displaying the value in dashboards; use programmatic access only.
• For amagama and other languages, treat keys as global secrets with scoped access per service to prevent cross-project leakage.
• Audit access by checking the secret manager’s logs; you can find who accessed the key and when; restrict access to the center of your organization and to paid plans where appropriate.
• Keep an audit trail in Sheets or another log store so you can review access during every period and find which services accessed the key.
• Plan a rotation period of about one month; rotate keys in a way that minimizes downtime and validate all services that transform requests.
• Maintain a secure history of the original value in a protected repository or vault; use the current value for normal operations.

Secret managers

• Store the key in a secret manager (AWS Secrets Manager, Azure Key Vault, Google Secret Manager, or a platform-neutral option) and map it to the environment variable on deploy.
• Apply least-privilege policies so only the service accounts used by your languages and services can retrieve the secret.
• Use a central secret center to manage versions, with a specified rotation workflow; include a deactivation process and track which services found the key in use.
• Configure automatic rotation when available; otherwise implement a rotation plan and set up alerts for failed rotations or access anomalies.
• During rotation, verify that each service can fetch the current value at startup, test with a non-production environment, and then roll out gradually to production.
• When deploying, ensure the application reads from the environment variable and not from in-repo files; after rotation, restart affected services to apply the new key.
• Include a deactivation workflow to revoke old keys and prevent reuse if a compromise is found, and document the steps for rapid rollback.

Restricting key usage by IP, platform, and app origin

Limit each API key to approved IPs, platforms, and app origins. Create an allowlist by IP ranges and domain patterns, and enforce checks at the edge before any translated content or document requests are processed. This must reduce risk when keys are leaked or misused.

Define a current policy in the control plane and maintain a glossary of valid origins and platforms. The value of this plan is predictable behavior for access. For new keys, use typedefault to set baseline behavior, then select a targeted scope for each app origin. Document the rules below so teams can reference them quickly and align with gmbhdata requirements.

Configure the edge layer to open an origin check and IP allowlist. Target requests from approved IPs and known origins such as internal apps, web apps, add-ons, or external services. Use the key’s metadata to enforce the scope, including contents, user, and the defined phrase for routing. If your flow uses baidu or sheetsl for translations, add those origins to the allowed list and map them in the glossary to a clear app name. Select the correct value for each key and keep origin rules in the center for consistent behavior.

Enable logs for denied requests and store events in a document or in the gmbhdata repository for audit. Provide an info summary for governance and keep a record of the previous origins to track changes over time. When a mismatch appears, alert the team and revoke the affected key immediately.

Rotate keys on a defined cadence, apply short-lived tokens when possible, and leverage per-app scopes to minimize blast radius. Use a center of control to manage all keys, and set alerts for new origins or unusual patterns in translations usage. For teams using add-ons, document the plan and update the glossary to reflect new sources. Keep user-facing text clear and provide a simple open experience during key rotation.

Implementing automatic key rotation and revocation workflows

Set up a rotation plan that creates a new API key in your secret store, updates every service using that key, and revokes the old credential. Define typedefault as 30 days and apply the cadence to all region scopes in the selected environment. The policy should run automatically, with a failover path, and a change log that records who triggered the rotation and when.

Define clear policy gates: rotate before the current key reaches its end of life, require usage of the new key by all target services, and prevent hard-coded keys in code or config. Use the selected region and target environment to scope the rotation, and align invoices with the actual usage so billing reflects current activity. The plan must specify who can approve a rotation and how to handle falsefalsefalsesource entries during testing, while labeling real assets with namesetting conventions for consistency.

Automation steps start with generating a fresh key, storing it under a stable name in the secret store, and propagating the value to all entities using the key. When a key is rotated, a rotating job updates environment variables, deployment manifests, and runtime configurations without downtime. Clicking a rotation trigger should perform a dry run first to verify that all targets will switch to the new key and that no service will fail during the transition. Use usage metrics to confirm that all services reference the new key and that old references are removed, then switch the active key in production.

Revocation follows a validated deployment: revoke the old key immediately after all targets confirm successful usage of the new key, maintain an audit trail, and disable any stale credentials within 24 hours. Ensure that the policy enforces regional scoping so revocation does not affect unintended regions, and that any invoices tied to old keys are archived for accountability. Include entitiesmaltegounknownshort and entitiesmaltegounknownoutput tags to distinguish unknown origins in logs, and tag one true source with falsefalsefalsesource to keep test data separate from live traffic.

Monitoring and validation verify that the level of integrity remains high: alert on rotation failures, key fetch errors, or mismatches between deployed keys and those stored. Regularly compare usage reports against invoices to detect anomalies, and document changes with a concise namesetting scheme so future audits trace back to the exact plan and target configuration. Also ensure that every rotation step aligns with the policy, the region, and the selected services, so access remains tightly controlled and traceable.

Enforcing least privilege through per-app keys and usage quotas

Implement least privilege by issuing per-app keys with strict scope. Each app receives a unique keystring that encodes appId, scope, and quotas; it will be active only for that app and cannot access resources owned by others. When creating a key, specify languages and endpoints (translate, detect languages, and other options) and attach a usage plan that enforces per-app quotas. The original metadata from creation should include the owner, purpose, and the entitiesmaltegounknownshort tag for audit trails. Secure the key in a vault and rotate on schedule; required rotation reduces risk. All requests must pass the keystring in the Authorization header; the system will verify the parameters (level and limits) before translating. Maintain governance by exporting metrics to sheets and sheetsl for internal reviews, and obtain feedback from them to refine quotas.

Этапы реализации

Create per-app keys in the management console with a clear naming pattern (app--scope). Each keystring encodes the appId, the specific scope, and the quota limits; activate them for the target app while denying access to others. Define scope narrowly: languages, translation features, and selected models (neural or standard) if supported. Attach a per-app quota profile measured in translated characters, requests per minute, and daily caps. Enforce these rules at the gateway; require the presence of the keystring in every request and validate parameters against the configured level. Enable automatic rotation on a fixed cadence (for example, 90 days), with revocation of old keys and re-issuance to the owning app. Log events with owner, creation, and the entitiesmaltegounknownshort tag to support audits. Store the original metadata in a secure store and align with sheets for governance dashboards.

Monitoring and governance

Track active keys, quotas consumption, and anomaly signals using a single pane in sheets; monitor metrics such as total translated characters, requests, error rate, and neural versus standard model usage. Use parameters to adjust thresholds and trigger alerts when usage nears limits, suspending the key to prevent overage. Provide suggestions to teams and update their keys accordingly. Obtain feedback from them on changes in scope or required translations; keep languages and original content protected; ensure translations for selected languages are obtained and tracked. Periodically review the entitiesmaltegounknownshort tag and revise the per-app scope as new features are added.

Аудит доступа: журналы, оповещения и обнаружение аномалий

Включить централизованную запись журналов для всех действий с ключами API DeepL: создание, ротация и отзыв. Направлять журналы в защищенную среду со строгими средствами контроля доступа и замаскировывать секретные значения, чтобы материалы ключей не отображались в журналах. Каждая запись должна включать метку времени, действие, пользователя и идентификатор источника (источник). Хранить журналы в выделенном сервисе bucket и обеспечивать минимальный срок хранения в 90 дней; 365 дней идеальны для соответствия требованиям. Не отображать полные ключи; заменять на заполнители или хеши. Такой подход обеспечивает надежный источник достоверной информации для аудитов и реагирования на инциденты.

Настройте оповещения в реальном времени о событиях высокого риска: создание нового ключа, ротация или доступ с неизвестных IP-адресов или незнакомых сервисов, таких как deepls и weblate. Привяжите оповещения к явным уровням и сохраняйте полезную нагрузку краткой, включая key_id, user, timestamp и IP. Убедитесь, что вы не раскрываете секретное значение в оповещениях; если это необходимо, отобразите безопасный заполнитель или размер значения. Используйте начальный маркер, чтобы указать первое событие после ротации, и свяжите связанную деятельность со счетами для отслеживания затрат. Включите короткую фразу в оповещение, чтобы направить реагирующих, когда требуется быстрое действие.

Применить обнаружение аномалий: базовую активность по среде и службе; отслеживать отклонения, выходящие за пределы настроенного уровня, и автоматически эскалировать. Убедитесь, что панели управления отображают четкие индикаторы и предоставляют доступ для детального изучения журналов. При появлении аномалий проверяйте маркеры entitiesmaltegounknownoutput и сопоставляйте их с каналами данных. Если действие не может быть сопоставлено с известным источником, эскалируйте в службу безопасности. Захватывайте показатели чтения, значение и метаданные valueoptionalpopupauthenticationdeepl для повышения готовности. Используйте typedefault политики для контроля автоматического отключения ключей и поддержания соответствия безопасности настройкам источника и стратегии служб, особенно в средах с высоким уровнем риска.

Временная метка	Source	User	Action	Ресурс	Level	Notes
2025-09-22T12:34:56Z	источник=203.0.113.15	service-account/deepls	CreateKey	deepls API ключ	Medium	Ключ создан; значение удалено; начало жизненного цикла
2025-09-22T13:01:02Z	источник=10.10.0.8	security-ops	AccessAttempt	deepls API	High	Неизвестный пользователь; IP-адрес вне известного диапазона; действие заблокировано
2025-09-22T14:15:45Z	источник=weblate	automation-bot	RotateKey	key-039	Medium	Регулярная ротация; typedefault policy; значение замаскировано; значение optionalpopupauthenticationdeepl флаг активен; счета связаны

Безопасный обмен ключами и адаптация новых членов команды

Используйте централизованный менеджер секретов для безопасного обмена ключами API DeepL; генерируйте ключи для каждого участника, устанавливайте срок действия 30 дней и автоматизируйте отзыв при увольнении. Такой подход снижает подверженность риску, поддерживает конфиденциальность и обеспечивает чтение ключей только предполагаемым путем кода.

Onboarding workflow

1. Создание учетной записи: Для каждого нового члена команды создайте выделенную учетную запись, назначьте минимальный необходимый объем доступа к API и добавьте обновления описания в профиль для отслеживания прогресса. Записывайте языковые предпочтения и целевую среду для настройки доступа.
2. Ключевая провизия: выдать кратковременный API-ключ или токен из секретного центра, привязать его к учетной записи тиммейта и пометить запись меткой gmbhauthormaltego для обеспечения прозрачности аудита. Убедитесь, что поле источника показывает falsefalsefalsesource во время проверки.
3. Установить и настроить: в среде участника установите клиент секретов, выполните первоначальное чтение для проверки доступа и загрузите ключ в безопасную сессию только. Не храните ключи в коде или файлах за пределами центра.
4. Руководство по доступу: Предоставьте краткое описание разрешенных вариантов использования, целевых конечных точек и синтаксиса, специфичного для языка. Используйте файловые заметки и описание быстрого старта, чтобы уменьшить количество неправильных конфигураций.
5. Готовность к увольнению: Включите простой контрольный список выбывания в поле описания и добавьте ссылки с предложениями по срокам отзыва. Подготовьте быструю сводку активности в центре.

Контроль безопасности и техническое обслуживание

• Ротация и отзыв: Обеспечьте автоматическую ротацию ключей каждые 30 дней и оперативно отзывайте ключи, если уходит или меняет роль член команды. Отслеживайте изменения с помощью descriptionupdates и централизованно ведите журналы.
• Управление доступом: применяйте принцип наименьших привилегий с использованием ролевого контроля, ограничивайте использование необходимым окружением и областью действия, а также привязывайте политику к учетной записи и ее целевым сервисам.
• Аудит и видимость: Предоставьте доступ только для чтения для рецензирования кода, отслеживайте модели использования в центре и поддерживайте конфиденциальность записей для всех ключевых операций. Включите заметки об установке и уведомления для обеспечения прозрачности.
• Готовность к инцидентам: при подозрении на утечку немедленно отозовите затронутые ключи, установите обновленные учетные данные и распространите уведомление среди команды с описанием шагов по устранению неполадок.