數位果子 BLOG
本站是數位果子的部落格網站。

Google API Key 常用於 Google Maps Platform、YouTube Data API、Google Calendar API、Google Drive API、Gemini API,以及其他 Google Cloud 服務。
如果網站、App、測試程式或舊專案已經停止使用,卻仍保留 API Key,可能增加以下風險:
Google 官方建議只保留目前仍在使用的 API Key,並刪除不再需要的金鑰,以縮小可能遭受攻擊的範圍。
不過,刪除前一定要先確認該 Key 沒有被正式網站、行動 App、伺服器、自動化程式或第三方服務使用,否則刪除後可能立即造成地圖無法載入、表單失效或系統串接中斷。



讓更多人搜尋到你的產品?現在有機會免費行銷 20 天!
現在越來越多品牌開始透過 內容行銷,讓產品被 Google 搜尋到。
我們現在開放 20 天免費內容行銷體驗,透過搜尋曝光與內容推廣,幫助你的產品被更多人看見。
遇到的情況 | 建議處理方式 |
|---|---|
確定 Key 已經不使用 | 可直接從 Google Cloud 憑證頁面刪除 |
不確定是否仍有系統使用 | 先查看 API 用量、網站程式及伺服器設定 |
要更換可能外洩的 Key | 先建立新 Key、套用限制、更新系統,再刪除舊 Key |
剛剛不小心刪除 | 一般 API Key 可在30天內嘗試恢復 |
超過30天才發現誤刪 | Key會永久清除,需建立新 Key |
刪除後網站地圖壞掉 | 立即恢復舊 Key,或建立新 Key並更新網站 |
找不到刪除按鈕 | 可能沒有足夠 IAM權限或選錯專案 |
要刪的是服務帳戶 JSON Key | 應到「服務帳戶」頁面,不是一般憑證頁面 |
要刪的是 OAuth用戶端 | 應刪除OAuth 2.0 Client ID或重設Client Secret |
想停止整個 API服務 | 應停用API,不只是刪除API Key |
API Key 是一組用來識別 Google Cloud 專案與 API 呼叫來源的字串。
常見用途包括:
API Key 本身不是 Google帳號密碼,但若沒有設定限制,任何取得該 Key 的人都可能嘗試用它呼叫已啟用的 API。
因此,金鑰不應:
Google官方也提醒,不應將 API Key 直接寫入用戶端程式或公開程式碼儲存庫,並應替金鑰設定應用程式與 API限制。
API Key 一旦刪除,使用它的系統可能立即無法連線。
例如:
因此,刪除前應先完成以下檢查。
進入 Google Cloud 憑證頁面後,查看 API Key 名稱。
例如:
如果名稱過於模糊,例如「API Key 1」,不能只憑名稱判斷是否沒用。
點選 API Key,查看是否設定:
如果限制中列出正式網站網域、正式伺服器 IP 或正式 App套件名稱,代表它很可能仍在使用。
查看該 Key 能呼叫哪些 API,例如:
如果設定為「不要限制金鑰」,風險較高,應優先確認並加上限制。
可以從 Google Cloud 控制台查看:
如果最近仍有請求,不能直接認定是舊 Key;還要確認是哪一把 Key產生的流量。
在以下位置搜尋 Key的部分字串或設定名稱:
wp-config.php.envconfig.php不要只刪除 Google Cloud 中的 Key,卻把外洩的金鑰字串繼續保留在公開程式碼中。
使用管理該專案的 Google帳號登入。
在頁面上方點選專案選擇器,確認目前選擇的是 API Key 所在的專案。
請核對:
如果選錯專案,可能看不到金鑰,或誤刪其他系統使用的 Key。
操作路徑通常為:
Google Cloud 控制台 → API和服務 → 憑證
也可以使用一般文字連結開啟:
Google官方文件也將 API Key 的建立、輪替與管理集中在 Credentials 憑證頁面。
在「API金鑰」區域,找到不再使用的 Key。
刪除前再次核對:
建議先把金鑰名稱、專案名稱及用途記錄下來,但不要將完整 Key字串貼到公開文件。
依控制台目前顯示的介面,可使用以下其中一種方式:
系統要求確認時,請確認刪除的是正確金鑰,再完成操作。
刪除完成後,該 Key會被標記為已刪除,不能再用於呼叫API。Google API Keys API文件說明,刪除作業會將金鑰狀態標示為 DELETED。
刪除 API Key 後,依系統傳播狀況,可能需要短暫時間才完全反映,但應視為已停止使用。
如果正式網站正在使用該 Key,可能很快出現:
This page can't load Google Maps correctlyAPI key not validREQUEST_DENIED403 Forbidden因此,正式環境的 Key不應直接刪除,應先進行輪替。
可以,但有時間限制。
Google官方說明,一般 Google Cloud API Key 在刪除後 30天內可以恢復;超過30天後便無法復原,金鑰會從專案中永久清除。
Google官方指出,恢復作業可能需要數分鐘才會傳播並重新顯示在 API Key清單中。
若超過30天,只能建立新的 API Key,並將所有系統設定更新為新 Key。
如果 API Key 可能已外洩,或只是想更換舊 Key,正確順序是:
Google官方將這個流程稱為 API Key輪替;在應用程式全部改用新 Key後,才刪除舊 Key。
若控制台提供「輪替金鑰」功能,可依以下方式操作:
Google官方提醒,新舊 Key的限制必須正確配置,否則切換時可能造成服務中斷。
熟悉命令列的管理者,也可以使用 Google Cloud CLI。
基本指令格式:
gcloud services api-keys delete KEY_ID --project=PROJECT_ID
其中:
KEY_ID:API Key資源的識別碼,不是完整 Key字串。PROJECT_ID:Google Cloud專案ID。正式執行前,可以先列出專案中的金鑰:
gcloud services api-keys list --project=PROJECT_ID
刪除 API Key需要對應的 IAM權限,例如 apikeys.keys.delete。Google官方 REST API文件也列出此權限要求。
執行命令前,務必再次確認專案與 Key ID,避免刪錯正式環境的金鑰。
Google API Keys API支援 DeleteKey 方法。
基本請求格式為:
DELETE https://apikeys.googleapis.com/v2/projects/PROJECT_NUMBER/locations/global/keys/KEY_ID
API Key屬於全域資源,因此 locations 使用 global。刪除請求成功後會回傳長時間執行作業,完成後金鑰會被標記為已刪除。
這種方式較適合:
一般使用者透過 Google Cloud控制台操作即可。
刪除 API Key需要相關權限。
可能具備權限的角色包括:
apikeys.keys.delete 的角色如果只有檢視權限,可能只能看到 Key,無法刪除。
應聯絡專案擁有者或公司 Google Cloud管理員處理。
同一個帳號可能管理多個專案。請再次核對專案選擇器。
憑證頁面可能同時出現:
不同憑證的刪除方式不同。
公司或學校的 Google Cloud組織可能限制建立、顯示或刪除憑證。應聯絡組織管理員。
通常是一長串字元,用於識別專案及限制 API呼叫。
管理位置:
API和服務 → 憑證
刪除後30天內一般可恢復。
通常會下載為 JSON或P12檔案,內容包含私密金鑰,讓程式以服務帳戶身分存取資源。
管理位置:
IAM和管理 → 服務帳戶 → 選擇服務帳戶 → 金鑰
服務帳戶金鑰刪除後不能復原。Google官方建議先停用,確認沒有系統使用後,再永久刪除。
用於讓使用者授權 App存取 Google帳號資料,例如:
若只是 Client Secret外洩,通常應重設 Secret,而不是誤刪整個 OAuth用戶端。Google官方建議對遭洩露的 OAuth2 Client ID Secret執行重設,再更新應用程式。
憑證類型 | 常見形式 | 管理位置 | 誤刪能否復原 |
|---|---|---|---|
API Key | 一長串API字串 | API和服務/憑證 | 一般可在30天內恢復 |
服務帳戶金鑰 | JSON或P12檔案 | IAM/服務帳戶/金鑰 | 不可復原 |
OAuth用戶端ID | Client ID與Secret | API和服務/憑證 | 依憑證操作處理 |
OAuth存取權杖 | 短期授權Token | 應用程式或授權流程 | 通常重新授權 |
密碼或驗證碼 | Google帳號登入憑證 | Google帳號安全性 | 與API Key不同 |
這兩個操作完全不同。
效果是:
效果是:
若只是清除一把不用的 Key,不要誤按「停用 API」。
刪除 Key後,該 Key應無法再產生新的 API呼叫。
但仍可能看到費用的原因包括:
因此,刪除 Key後還應檢查:
只刪除 API Key不等於關閉整個 Google Cloud專案。
立即刪除 Key,並搜尋所有可能外洩的位置。
依序執行:
Google官方對遭洩露憑證的處理原則,也是先重新核發新憑證、更新所有使用位置,再撤銷舊憑證,以減少服務中斷。
依使用場景設定:
只允許金鑰呼叫必要API,例如只允許:
不要讓單一 Key可以呼叫專案中所有已啟用API。
Google官方指出,限制 API Key的使用來源與API範圍,可以降低金鑰外洩後的影響。
若是 WordPress,可能需要更新:
wp-config.php進入:
Google Cloud控制台 → API和服務 → 憑證
選擇正確專案,找到 API Key後使用刪除功能。
如果網站或App仍在使用該 Key,就會受影響。刪除前應確認用量與程式設定。
一般 Google Cloud API Key在刪除後30天內可以恢復;超過30天後無法復原。
應視為立即停止使用,但實際系統可能需要短暫時間完成傳播。
確認是否選錯專案、登入錯Google帳號,或金鑰其實位於另一個公司或客戶專案。
可能沒有 apikeys.keys.delete 權限,需聯絡專案擁有者或Google Cloud管理員。
一般 API Key常見做法是設定限制、輪替或刪除。若怕影響正式系統,先建立替代Key並測試,不要直接刪除。
不會。只會刪除選定的Key,專案、API服務、帳務及其他資源仍存在。
不一定。專案中其他金鑰、API或雲端資源仍可能產生費用。
不是。服務帳戶金鑰應到IAM的服務帳戶頁面處理,而且刪除後不能恢復。
還應移除程式碼中的Key、清理Git歷史、建立新Key、設定限制,並檢查是否出現異常用量。
先建立受限制的新Key,更新網站,再刪除舊Key,同時檢查Google Maps Platform用量與帳單。
如果整個專案都不再使用該API,可評估停用API;如果只是某一套系統不用,通常只需移除或刪除相關Key。
是否能批次操作取決於控制台介面;大量管理可使用gcloud或API Keys API,但應先逐一確認用途。
以下網址請在 WordPress 使用一般文字超連結或按鈕,不要使用「嵌入內容」區塊。
刪除不使用的 Google API Key,可以降低憑證外洩、API濫用及非預期帳單的風險。
建議依照以下順序處理:
不要只因為 Key名稱看起來像測試用途就立即刪除。對正式網站而言,先輪替、再刪除,通常比直接刪除更安全。
如果您的企業遇到以下問題:
數位果子科技有限公司可協助進行網站、Google API串接、系統設定及數位服務規劃。
合作專線:0970-357-535
LINE:cherng65
歡迎來電或加入LINE洽詢,讓我們協助您檢查Google API設定、網站串接與企業數位服務流程。