如何刪除不使用的 Google API Key?Google Cloud 控制台操作與誤刪復原教學

Google API Key 常用於 Google Maps Platform、YouTube Data API、Google Calendar API、Google Drive API、Gemini API,以及其他 Google Cloud 服務。

如果網站、App、測試程式或舊專案已經停止使用,卻仍保留 API Key,可能增加以下風險:

  • 金鑰遭到外洩或盜用。
  • 第三方持續呼叫付費 API。
  • Google Maps 或其他服務產生非預期帳單。
  • 無法分辨哪一把 Key 仍在使用。
  • 舊網站、測試環境仍保有存取權。
  • GitHub、WordPress或前端程式中殘留金鑰。

Google 官方建議只保留目前仍在使用的 API Key,並刪除不再需要的金鑰,以縮小可能遭受攻擊的範圍。

不過,刪除前一定要先確認該 Key 沒有被正式網站、行動 App、伺服器、自動化程式或第三方服務使用,否則刪除後可能立即造成地圖無法載入、表單失效或系統串接中斷。


讓更多人搜尋到你的產品?現在有機會免費行銷 20 天!
現在越來越多品牌開始透過 內容行銷,讓產品被 Google 搜尋到。

我們現在開放 20 天免費內容行銷體驗,透過搜尋曝光與內容推廣,幫助你的產品被更多人看見。

刪除 Google API Key 快速對照表

遇到的情況
建議處理方式
確定 Key 已經不使用
可直接從 Google Cloud 憑證頁面刪除
不確定是否仍有系統使用
先查看 API 用量、網站程式及伺服器設定
要更換可能外洩的 Key
先建立新 Key、套用限制、更新系統,再刪除舊 Key
剛剛不小心刪除
一般 API Key 可在30天內嘗試恢復
超過30天才發現誤刪
Key會永久清除,需建立新 Key
刪除後網站地圖壞掉
立即恢復舊 Key,或建立新 Key並更新網站
找不到刪除按鈕
可能沒有足夠 IAM權限或選錯專案
要刪的是服務帳戶 JSON Key
應到「服務帳戶」頁面,不是一般憑證頁面
要刪的是 OAuth用戶端
應刪除OAuth 2.0 Client ID或重設Client Secret
想停止整個 API服務
應停用API,不只是刪除API Key

Google API Key 是什麼?

API Key 是一組用來識別 Google Cloud 專案與 API 呼叫來源的字串。

常見用途包括:

  • Google Maps JavaScript API
  • Places API
  • Geocoding API
  • YouTube Data API
  • Google Custom Search API
  • Google Calendar API
  • Google Drive API
  • Gemini API
  • 第三方系統與 Google Cloud API串接

API Key 本身不是 Google帳號密碼,但若沒有設定限制,任何取得該 Key 的人都可能嘗試用它呼叫已啟用的 API。

因此,金鑰不應:

  • 公開張貼在文章或文件中。
  • 上傳到公開 GitHub 儲存庫。
  • 寫在可直接查看的前端程式碼中。
  • 傳送到公開群組。
  • 放在沒有存取控制的試算表。
  • 與不相關的廠商共用。

Google官方也提醒,不應將 API Key 直接寫入用戶端程式或公開程式碼儲存庫,並應替金鑰設定應用程式與 API限制。


刪除前先確認這把 API Key 是否仍在使用

API Key 一旦刪除,使用它的系統可能立即無法連線。

例如:

  • Google地圖顯示錯誤。
  • 地址自動完成無法使用。
  • 距離或路線計算失敗。
  • YouTube影片資料無法讀取。
  • 自動化程式停止執行。
  • WordPress外掛顯示API錯誤。
  • App無法取得Google服務資料。
  • 後台出現403、401或API_KEY_INVALID。

因此,刪除前應先完成以下檢查。

一、查看金鑰名稱

進入 Google Cloud 憑證頁面後,查看 API Key 名稱。

例如:

  • Browser key
  • Maps API Key
  • WordPress Maps
  • Android production
  • Test API key
  • Server API Key
  • YouTube API
  • Gemini API Key

如果名稱過於模糊,例如「API Key 1」,不能只憑名稱判斷是否沒用。


二、查看應用程式限制

點選 API Key,查看是否設定:

  • HTTP參照網址
  • IP位址
  • Android應用程式
  • iOS應用程式
  • 無限制

如果限制中列出正式網站網域、正式伺服器 IP 或正式 App套件名稱,代表它很可能仍在使用。


三、查看 API限制

查看該 Key 能呼叫哪些 API,例如:

  • Maps JavaScript API
  • Places API
  • Geocoding API
  • YouTube Data API
  • Generative Language API

如果設定為「不要限制金鑰」,風險較高,應優先確認並加上限制。


四、查看 API使用量

可以從 Google Cloud 控制台查看:

  1. API和服務。
  2. 已啟用的API和服務。
  3. 選擇相關API。
  4. 查看流量、錯誤和配額。
  5. 比對最近是否仍有呼叫。

如果最近仍有請求,不能直接認定是舊 Key;還要確認是哪一把 Key產生的流量。


五、搜尋網站與程式碼

在以下位置搜尋 Key的部分字串或設定名稱:

  • WordPress外掛設定。
  • wp-config.php
  • .env
  • config.php
  • JavaScript檔案。
  • Android或iOS專案。
  • GitHub、GitLab或Bitbucket。
  • Google Apps Script。
  • Make、Zapier或n8n。
  • 伺服器環境變數。
  • CI/CD祕密變數。
  • Cloud Run、Functions或App Engine設定。
  • 第三方CRM、表單或地圖服務。

不要只刪除 Google Cloud 中的 Key,卻把外洩的金鑰字串繼續保留在公開程式碼中。


如何從 Google Cloud 控制台刪除 API Key?

步驟一:登入 Google Cloud 控制台

使用管理該專案的 Google帳號登入。

開啟 Google Cloud 控制台


步驟二:選擇正確的專案

在頁面上方點選專案選擇器,確認目前選擇的是 API Key 所在的專案。

請核對:

  • 專案名稱
  • 專案ID
  • 專案編號
  • 計費帳戶
  • 所屬公司或組織

如果選錯專案,可能看不到金鑰,或誤刪其他系統使用的 Key。


步驟三:進入「API和服務」的「憑證」

操作路徑通常為:

Google Cloud 控制台 → API和服務 → 憑證

也可以使用一般文字連結開啟:

Google Cloud API憑證管理

Google官方文件也將 API Key 的建立、輪替與管理集中在 Credentials 憑證頁面。


步驟四:找到要刪除的 API Key

在「API金鑰」區域,找到不再使用的 Key。

刪除前再次核對:

  • 金鑰名稱
  • 建立日期
  • API限制
  • 應用程式限制
  • 所屬專案
  • 最近使用情況

建議先把金鑰名稱、專案名稱及用途記錄下來,但不要將完整 Key字串貼到公開文件。


步驟五:刪除 API Key

依控制台目前顯示的介面,可使用以下其中一種方式:

  • 點選 API Key 名稱,進入詳細資料後選擇「刪除」。
  • 在金鑰右側點選更多動作圖示,再選擇「刪除」。
  • 勾選金鑰後,使用頁面上的刪除功能。

系統要求確認時,請確認刪除的是正確金鑰,再完成操作。

刪除完成後,該 Key會被標記為已刪除,不能再用於呼叫API。Google API Keys API文件說明,刪除作業會將金鑰狀態標示為 DELETED


刪除後多久會失效?

刪除 API Key 後,依系統傳播狀況,可能需要短暫時間才完全反映,但應視為已停止使用。

如果正式網站正在使用該 Key,可能很快出現:

  • 地圖空白。
  • This page can't load Google Maps correctly
  • API key not valid
  • REQUEST_DENIED
  • 403 Forbidden
  • API請求失敗。
  • WordPress外掛錯誤。

因此,正式環境的 Key不應直接刪除,應先進行輪替。


Google API Key 刪錯可以恢復嗎?

可以,但有時間限制。

Google官方說明,一般 Google Cloud API Key 在刪除後 30天內可以恢復;超過30天後便無法復原,金鑰會從專案中永久清除。

從控制台恢復已刪除的 API Key

  1. 開啟 Google Cloud憑證頁面。
  2. 選擇正確專案。
  3. 點選「還原已刪除的憑證」或類似選項。
  4. 找到誤刪的 API Key。
  5. 點選「還原」。
  6. 等待系統更新。
  7. 重新測試網站或程式。

Google官方指出,恢復作業可能需要數分鐘才會傳播並重新顯示在 API Key清單中。

若超過30天,只能建立新的 API Key,並將所有系統設定更新為新 Key。


正式系統仍在使用,應該先輪替而不是直接刪除

如果 API Key 可能已外洩,或只是想更換舊 Key,正確順序是:

  1. 建立新 API Key。
  2. 套用與舊 Key相同或更嚴格的限制。
  3. 將新 Key更新到網站、App、伺服器和第三方平台。
  4. 測試所有功能。
  5. 確認舊 Key已沒有請求。
  6. 再刪除舊 Key。

Google官方將這個流程稱為 API Key輪替;在應用程式全部改用新 Key後,才刪除舊 Key。


使用控制台輪替 API Key

若控制台提供「輪替金鑰」功能,可依以下方式操作:

  1. 開啟憑證頁面。
  2. 點選要輪替的 API Key。
  3. 點選「輪替金鑰」。
  4. 輸入新金鑰名稱。
  5. 確認限制設定。
  6. 建立新 Key。
  7. 複製新 Key並更新所有系統。
  8. 測試完成後,刪除舊 Key。

Google官方提醒,新舊 Key的限制必須正確配置,否則切換時可能造成服務中斷。


如何使用 gcloud 刪除 API Key?

熟悉命令列的管理者,也可以使用 Google Cloud CLI。

基本指令格式:

gcloud services api-keys delete KEY_ID --project=PROJECT_ID

其中:

  • KEY_ID:API Key資源的識別碼,不是完整 Key字串。
  • PROJECT_ID:Google Cloud專案ID。

正式執行前,可以先列出專案中的金鑰:

gcloud services api-keys list --project=PROJECT_ID

刪除 API Key需要對應的 IAM權限,例如 apikeys.keys.delete。Google官方 REST API文件也列出此權限要求。

執行命令前,務必再次確認專案與 Key ID,避免刪錯正式環境的金鑰。


如何用 REST API 刪除 API Key?

Google API Keys API支援 DeleteKey 方法。

基本請求格式為:

DELETE https://apikeys.googleapis.com/v2/projects/PROJECT_NUMBER/locations/global/keys/KEY_ID

API Key屬於全域資源,因此 locations 使用 global。刪除請求成功後會回傳長時間執行作業,完成後金鑰會被標記為已刪除。

這種方式較適合:

  • 大量金鑰管理。
  • 自動化清理。
  • 企業資安流程。
  • 定期檢查閒置Key。
  • 多專案治理。

一般使用者透過 Google Cloud控制台操作即可。


找不到刪除按鈕怎麼辦?

一、沒有足夠的 IAM權限

刪除 API Key需要相關權限。

可能具備權限的角色包括:

  • 專案擁有者
  • 專案編輯者
  • API Keys管理員
  • 自訂包含 apikeys.keys.delete 的角色

如果只有檢視權限,可能只能看到 Key,無法刪除。

應聯絡專案擁有者或公司 Google Cloud管理員處理。


二、選錯 Google Cloud專案

同一個帳號可能管理多個專案。請再次核對專案選擇器。


三、這不是一般 API Key

憑證頁面可能同時出現:

  • API Key
  • OAuth 2.0用戶端ID
  • 服務帳戶
  • 服務帳戶金鑰
  • OAuth Client Secret

不同憑證的刪除方式不同。


四、金鑰由組織政策管理

公司或學校的 Google Cloud組織可能限制建立、顯示或刪除憑證。應聯絡組織管理員。


API Key、服務帳戶金鑰與 OAuth憑證有什麼不同?

一般 API Key

通常是一長串字元,用於識別專案及限制 API呼叫。

管理位置:

API和服務 → 憑證

刪除後30天內一般可恢復。


服務帳戶金鑰

通常會下載為 JSON或P12檔案,內容包含私密金鑰,讓程式以服務帳戶身分存取資源。

管理位置:

IAM和管理 → 服務帳戶 → 選擇服務帳戶 → 金鑰

服務帳戶金鑰刪除後不能復原。Google官方建議先停用,確認沒有系統使用後,再永久刪除。


OAuth 2.0用戶端ID與Client Secret

用於讓使用者授權 App存取 Google帳號資料,例如:

  • Google登入
  • Google Drive授權
  • Gmail API
  • Calendar API
  • YouTube頻道授權

若只是 Client Secret外洩,通常應重設 Secret,而不是誤刪整個 OAuth用戶端。Google官方建議對遭洩露的 OAuth2 Client ID Secret執行重設,再更新應用程式。


快速辨識表

憑證類型
常見形式
管理位置
誤刪能否復原
API Key
一長串API字串
API和服務/憑證
一般可在30天內恢復
服務帳戶金鑰
JSON或P12檔案
IAM/服務帳戶/金鑰
不可復原
OAuth用戶端ID
Client ID與Secret
API和服務/憑證
依憑證操作處理
OAuth存取權杖
短期授權Token
應用程式或授權流程
通常重新授權
密碼或驗證碼
Google帳號登入憑證
Google帳號安全性
與API Key不同

刪除 API Key 和停用 API 有什麼不同?

這兩個操作完全不同。

刪除 API Key

效果是:

  • 該 Key不能再呼叫 API。
  • 同一專案中的其他 Key仍可使用。
  • API服務本身仍然啟用。
  • 其他網站或App不一定受影響。

停用 API

效果是:

  • 專案中的該項 API服務停止提供。
  • 所有使用該專案呼叫該 API的系統都可能受影響。
  • 即使其他 API Key仍存在,也可能無法使用該API。

若只是清除一把不用的 Key,不要誤按「停用 API」。


刪除 API Key 後還會繼續產生費用嗎?

刪除 Key後,該 Key應無法再產生新的 API呼叫。

但仍可能看到費用的原因包括:

  • 帳務資料延遲入帳。
  • 刪除前已產生的用量。
  • 專案內還有其他 API Key。
  • 服務帳戶或OAuth憑證仍在使用。
  • 其他Google Cloud資源仍持續運作。
  • 另一個專案仍在產生費用。

因此,刪除 Key後還應檢查:

  • Google Cloud帳單。
  • API用量。
  • 其他憑證。
  • 已啟用的服務。
  • Cloud Run、Compute Engine、資料庫等資源。
  • 預算及異常費用通知。

只刪除 API Key不等於關閉整個 Google Cloud專案。


API Key疑似外洩,應該怎麼處理?

情況一:確定沒有系統使用

立即刪除 Key,並搜尋所有可能外洩的位置。

情況二:正式系統仍在使用

依序執行:

  1. 建立新 Key。
  2. 設定應用程式限制。
  3. 設定API限制。
  4. 更新所有正式環境。
  5. 測試功能。
  6. 刪除舊 Key。
  7. 檢查帳單與流量。

Google官方對遭洩露憑證的處理原則,也是先重新核發新憑證、更新所有使用位置,再撤銷舊憑證,以減少服務中斷。


應用程式限制建議

依使用場景設定:

  • 網站:HTTP參照網址
  • 伺服器:IP位址
  • Android:套件名稱與SHA-1憑證
  • iOS:Bundle ID

API限制建議

只允許金鑰呼叫必要API,例如只允許:

  • Maps JavaScript API
  • Places API
  • Geocoding API

不要讓單一 Key可以呼叫專案中所有已啟用API。

Google官方指出,限制 API Key的使用來源與API範圍,可以降低金鑰外洩後的影響。


刪除後網站出現錯誤怎麼辦?

仍在30天內

  1. 進入憑證頁面。
  2. 選擇正確專案。
  3. 點選還原已刪除的憑證。
  4. 還原原API Key。
  5. 等待數分鐘。
  6. 清除網站快取。
  7. 重新測試。

已經超過30天

  1. 建立新API Key。
  2. 套用正確限制。
  3. 更新網站或App設定。
  4. 清除快取。
  5. 測試所有API功能。
  6. 查看錯誤紀錄。

若是 WordPress,可能需要更新:

  • Google Maps外掛
  • 頁面編輯器地圖模組
  • 佈景主題設定
  • 地址自動完成外掛
  • 商店配送距離外掛
  • 自訂JavaScript
  • wp-config.php
  • 環境變數

Google API Key刪除完整排查步驟

  1. 確認要刪除的是一般API Key。
  2. 確認所在Google Cloud專案。
  3. 查看應用程式及API限制。
  4. 查看近期API用量。
  5. 搜尋網站、程式及第三方平台。
  6. 不確定時先輪替,不要直接刪除。
  7. 建立新Key並設定限制。
  8. 更新所有正式系統。
  9. 測試網站、App和自動化程式。
  10. 確認舊Key已沒有流量。
  11. 從憑證頁面刪除舊Key。
  12. 保存變更紀錄。
  13. 刪錯時在30天內恢復。
  14. 檢查帳單與異常用量通知。

常見問題

Google API Key在哪裡刪除?

進入:

Google Cloud控制台 → API和服務 → 憑證

選擇正確專案,找到 API Key後使用刪除功能。

刪除 API Key會影響網站嗎?

如果網站或App仍在使用該 Key,就會受影響。刪除前應確認用量與程式設定。

刪除後可以恢復嗎?

一般 Google Cloud API Key在刪除後30天內可以恢復;超過30天後無法復原。

API Key刪除後會立刻失效嗎?

應視為立即停止使用,但實際系統可能需要短暫時間完成傳播。

找不到API Key怎麼辦?

確認是否選錯專案、登入錯Google帳號,或金鑰其實位於另一個公司或客戶專案。

沒有刪除按鈕怎麼辦?

可能沒有 apikeys.keys.delete 權限,需聯絡專案擁有者或Google Cloud管理員。

可以先停用一般API Key嗎?

一般 API Key常見做法是設定限制、輪替或刪除。若怕影響正式系統,先建立替代Key並測試,不要直接刪除。

刪除API Key會刪除Google Cloud專案嗎?

不會。只會刪除選定的Key,專案、API服務、帳務及其他資源仍存在。

刪除Key會停止Google Cloud扣款嗎?

不一定。專案中其他金鑰、API或雲端資源仍可能產生費用。

服務帳戶JSON Key也在憑證頁面刪除嗎?

不是。服務帳戶金鑰應到IAM的服務帳戶頁面處理,而且刪除後不能恢復。

API Key出現在GitHub,刪除就夠了嗎?

還應移除程式碼中的Key、清理Git歷史、建立新Key、設定限制,並檢查是否出現異常用量。

Google Maps Key外洩怎麼辦?

先建立受限制的新Key,更新網站,再刪除舊Key,同時檢查Google Maps Platform用量與帳單。

不再使用某項API,要刪Key還是停用API?

如果整個專案都不再使用該API,可評估停用API;如果只是某一套系統不用,通常只需移除或刪除相關Key。

可以一次刪除多把API Key嗎?

是否能批次操作取決於控制台介面;大量管理可使用gcloud或API Keys API,但應先逐一確認用途。


Google官方重要連結

以下網址請在 WordPress 使用一般文字超連結或按鈕,不要使用「嵌入內容」區塊。

Google Cloud API憑證管理

Google Cloud控制台

Google官方API Key管理說明

API Key安全管理最佳做法

建立與管理API Key

API Keys API刪除方法

遭洩露Google Cloud憑證處理方式

服務帳戶金鑰建立與刪除

Google Cloud帳單管理


結語:先確認用途,再刪除不用的 API Key

刪除不使用的 Google API Key,可以降低憑證外洩、API濫用及非預期帳單的風險。

建議依照以下順序處理:

  1. 確認API Key所在專案。
  2. 查看Key名稱與限制。
  3. 檢查近期API用量。
  4. 搜尋網站、App及伺服器設定。
  5. 不確定時先建立新Key。
  6. 替新Key設定來源與API限制。
  7. 更新正式系統並完整測試。
  8. 確認舊Key已無流量。
  9. 從Google Cloud憑證頁面刪除。
  10. 刪錯時在30天內使用還原功能。
  11. 檢查帳單及異常用量。
  12. 定期清查不再使用的憑證。

不要只因為 Key名稱看起來像測試用途就立即刪除。對正式網站而言,先輪替、再刪除,通常比直接刪除更安全。


需要協助處理 Google API、網站串接與數位服務?

如果您的企業遇到以下問題:

  • Google API Key不知道是否仍在使用。
  • Google Maps顯示API錯誤。
  • API Key疑似外洩。
  • Google Cloud出現異常帳單。
  • WordPress地圖或地址功能失效。
  • 需要更換API Key但擔心網站中斷。
  • 不清楚API Key、OAuth及服務帳戶的差異。
  • 需要串接Google Maps、Drive、Calendar或其他API。
  • 希望建立更安全的API權限與管理流程。

數位果子科技有限公司可協助進行網站、Google API串接、系統設定及數位服務規劃。

 數位果子科技有限公司 

合作專線:0970-357-535

LINE:cherng65

歡迎來電或加入LINE洽詢,讓我們協助您檢查Google API設定、網站串接與企業數位服務流程。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *