如何停用被盜用的 Google API Key?立即止損、刪除金鑰與重新建立完整教學

發現 Google API Key 被盜用後,應該如何立即停用?

對一般 Google Cloud API Key 而言,最直接的止損方式通常是進入 Google Cloud Console 的「憑證」頁面,找到外洩金鑰並將它刪除。Google 官方指出,API Key 不會自行過期;若遭竊後沒有撤銷或輪替,可能持續被使用。因此,已確認遭到濫用的金鑰不應只改名稱、刪除公開文章或等待帳單通知,而應立即限制、輪替或刪除。

不過,直接刪除金鑰可能讓網站地圖、地址搜尋、App 或後端系統立刻停止運作。因此,實際操作前要先依情況判斷:

  • 費用正在快速增加:立即刪除舊金鑰,先止損。
  • 系統不能中斷:先建立新金鑰、完成替換,再刪除舊金鑰。
  • 只是懷疑外洩但尚未確認:先加入嚴格限制、調低配額並檢查流量。
  • 外洩的是服務帳戶 JSON:應停用或刪除服務帳戶金鑰,不能只處理一般 API Key。

讓更多人搜尋到你的產品?現在有機會免費行銷 20 天!
現在越來越多品牌開始透過 內容行銷,讓產品被 Google 搜尋到。

我們現在開放 20 天免費內容行銷體驗,透過搜尋曝光與內容推廣,幫助你的產品被更多人看見。

被盜用的 API Key 處理方式快速對照表

目前情況
建議動作
是否可能中斷服務
優先程度
費用持續快速增加
立即刪除舊 API Key
最高
已出現陌生網域或 IP 流量
建立新金鑰後刪除舊金鑰
最高
API Key 出現在公開 GitHub
立即輪替並刪除舊金鑰
最高
收到 Google 憑證外洩通知
查流量、換新、刪除舊金鑰
最高
無法立即更新正式網站
先限制網域、IP與 API
尚不確定是哪一把金鑰
逐一比對流量與使用位置
只是網站前端看得到金鑰
檢查網域與 API 限制
測試用金鑰已不再使用
直接刪除
可能無
外洩的是服務帳戶 JSON
停用金鑰、換新後刪除
最高

Google API Key 有「停用」按鈕嗎?

一般 Google Cloud API Key 的管理流程,主要是:

  1. 加入或修改限制
  2. 建立替代金鑰
  3. 更新應用程式
  4. 刪除舊金鑰

Google 官方的 API Key 輪替說明也是建立新金鑰、將新金鑰部署到應用程式,最後刪除舊金鑰。

因此,使用者口中的「停用 API Key」,在一般操作上通常代表以下其中一種方式:

  • 刪除 API Key:立即阻止舊金鑰繼續通過驗證。
  • 限制 API Key:只允許特定網域、IP、App或 API 使用。
  • 停用相關 API:直接關閉專案內特定服務。
  • 降低 API 配額:限制每分鐘或每日請求量。
  • 移除付款或關閉專案:風險較大,不建議作為第一步。

如果已經確認金鑰被第三方取得,最終仍應完成輪替並刪除舊金鑰,而不是只加入限制後永久沿用。


方法一:立即刪除被盜用的 API Key

這是費用正在增加時最快的止損方法。

步驟一:登入 Google Cloud Console

前往:

Google Cloud Console
https://console.cloud.google.com/

請使用擁有該 Google Cloud 專案權限的帳號登入。

登入後,先確認頁面上方選擇的是正確專案。公司若有正式站、測試站、App與其他系統,可能同時有多個名稱相近的專案。


步驟二:開啟 API 憑證頁面

前往:

Google Cloud API 憑證管理
https://console.cloud.google.com/apis/credentials

或依序點選:

Google Cloud Console
→ API 和服務
→ 憑證

在這裡可以看到該專案中的:

  • API Key
  • OAuth 2.0 用戶端
  • 服務帳戶
  • 其他憑證

不要誤刪 OAuth 用戶端或服務帳戶,應先確認外洩的是哪一種憑證。


步驟三:找到遭盜用的 API Key

可依下列資訊辨識:

  • 金鑰名稱
  • 建立日期
  • 使用限制
  • 對應的網站或 App
  • 使用中的 API
  • Google 安全通知所列的金鑰
  • API 流量中的憑證識別資訊

Google Cloud 管理介面中的 Key ID 是用來識別金鑰的管理資訊,並不是可直接用來呼叫 API 的完整金鑰字串。

如果金鑰都叫做「API Key 1」「API Key 2」,可能很難辨認。此時不要隨便刪除,可以先查看每把金鑰的限制與已知使用位置。


步驟四:保留必要證據

刪除之前,建議先截圖或記錄:

  • 專案名稱與專案 ID
  • API Key 顯示名稱
  • Key ID
  • 異常流量開始時間
  • 相關 API 名稱
  • 帳單異常金額
  • 原本的使用限制
  • 陌生網域或 IP
  • Google 寄來的安全通知
  • 發現問題的時間

保留這些資料,有助於後續向 Google Cloud Billing 支援說明事件。

不要將完整 API Key 再貼到公開文件、客服討論區或網站文章中。


步驟五:刪除 API Key

點選需要處理的 API Key,進入詳細設定頁面後選擇「刪除」。

刪除完成後,使用該金鑰的新請求將無法再正常通過驗證。Google 官方說明,刪除 API Key 會將金鑰標記為已刪除;目前刪除的金鑰可在30天內復原,之後會從專案中清除。

不過,不要把可復原機制當成日常備份方式。如果金鑰已確認外洩,即使能復原,也不應再次投入正式環境使用。


步驟六:確認異常流量停止

前往:

API 與服務資訊主頁
https://console.cloud.google.com/apis/dashboard

檢查:

  • 請求量是否開始下降
  • 哪一項 API 仍有流量
  • 是否還有其他金鑰被使用
  • 4xx 錯誤是否增加
  • 費用是否仍持續增加

帳單和使用量報表可能不是即時更新,因此刪除後仍可能看到先前已發生、但較晚寫入報表的用量。

如果流量仍然持續,可能代表:

  • 刪錯金鑰
  • 專案還有其他外洩金鑰
  • 異常費用來自其他 Google Cloud 服務
  • 外洩的是服務帳戶或 OAuth 憑證
  • 同一付款帳戶下有其他專案遭到使用

方法二:先建立新金鑰,再刪除舊金鑰

如果網站或系統不能中斷,應使用金鑰輪替流程。

Google 官方建議的基本方式是:建立替代金鑰、套用必要限制、更新應用程式,確認新金鑰可用後,再刪除舊金鑰。

步驟一:建立新的 API Key

進入:

選擇:

建立憑證
→ API 金鑰

建立後請立即修改名稱,例如:

正式官網-Google Maps-2026年7月
後端地址查詢-Routes API-2026年7月
Android正式版-2026年7月

清楚的命名可以避免日後再次無法辨認金鑰用途。


步驟二:設定應用程式限制

不要直接把完全不受限制的新金鑰放入正式環境。

Google 官方指出,API Key 預設可能沒有使用限制,未受限制的金鑰容易遭到未授權使用;正式環境應加入應用程式限制與 API 限制。

依照使用環境選擇:

網站前端

設定「網站」或 HTTP 參照網址限制,例如:

https://example.com/*
https://www.example.com/*

有子網域時,需依實際架構加入,例如:

https://booking.example.com/*
https://member.example.com/*

後端伺服器

設定伺服器固定 IP,例如:

203.0.113.10

若主機 IP 會變動,應先向主機商確認固定 IP。

Android App

限制:

  • Android 套件名稱
  • SHA-1 憑證指紋

iOS App

限制特定 Bundle ID。

Google Cloud API Keys 支援依網站參照網址、IP、Android應用程式及 iOS 應用程式設定來源限制。


步驟三:設定 API 限制

選擇「限制金鑰」,只允許真正需要的 API,例如:

  • Maps JavaScript API
  • Places API
  • Geocoding API
  • Routes API
  • Street View Static API
  • YouTube Data API
  • Generative Language API

不要讓一把網站地圖金鑰同時呼叫所有已啟用的 API。

加入限制可以縮小外洩後的影響範圍,但不能讓已被第三方保存的舊金鑰自動失效。


步驟四:替換所有舊金鑰

常見需要更換的位置包括:

  • WordPress 地圖外掛
  • WordPress 佈景主題
  • 網站 JavaScript
  • PHP、Node.js或 Python 程式
  • .env 環境變數
  • 主機控制台
  • Cloud Run
  • App Engine
  • Firebase
  • GitHub Actions
  • Make
  • Zapier
  • Android App
  • iOS App
  • 公司內部系統
  • 排程程式
  • 第三方串接平台

建議製作一份替換清單,記錄:

系統
使用位置
是否已更換
測試結果
正式官網
WordPress外掛
正常
測試網站
.env
正常
後端排程
主機環境變數
待處理
Android App
App設定
待發布

步驟五:測試新金鑰

確認:

  • 地圖是否正常顯示
  • 地址自動完成是否正常
  • 地理編碼是否正常
  • 路線規劃是否正常
  • App是否能正常載入
  • 後端排程是否成功
  • 自動化平台是否正常執行

常見錯誤訊息包括:

API_KEY_INVALID
REQUEST_DENIED
RefererNotAllowedMapError
ApiNotActivatedMapError
IpRefererBlocked

如果出現錯誤,多半與以下原因有關:

  • 漏加 www 網域
  • 漏加子網域
  • 網址協定不符
  • 未啟用必要 API
  • IP填寫錯誤
  • App套件名稱或憑證指紋錯誤
  • 新設定尚未完全生效

步驟六:刪除舊金鑰

確認核心功能已切換到新金鑰後,立即刪除舊金鑰。

不要將外洩金鑰長期保留為「備用」,因為 API Key 本身不會因為長時間未使用而自動過期。


方法三:無法立即刪除時,先限制舊金鑰

如果暫時找不到所有使用位置,又擔心直接刪除造成正式服務中斷,可以先對舊金鑰套用嚴格限制。

網站金鑰

只允許自己的網域,例如:

https://example.com/*
https://www.example.com/*

移除:

  • 不認識的網域
  • 過度寬鬆的萬用設定
  • 已停用的測試站
  • 外包廠商舊網址
  • 不再合作的第三方平台

伺服器金鑰

只允許公司正式伺服器的固定 IP。

如果金鑰曾在 GitHub 或後端程式中公開,即使加上 IP限制,也建議完成系統切換後刪除舊金鑰。


API 限制

將金鑰限制為只能呼叫必要服務。

例如網站只需要顯示地圖,就不要同時允許:

  • Places API
  • Routes API
  • Geocoding API
  • 其他 Google Cloud API

重要提醒

限制舊金鑰只能作為暫時止損方法。

如果金鑰已經:

  • 出現在公開 GitHub
  • 被寄給不明人士
  • 出現在公開影片
  • 被其他網站實際使用
  • 造成異常費用
  • 收到 Google 外洩通知

最終仍應重新建立並刪除舊金鑰。


方法四:停用被盜刷的 API 服務

如果無法立即找到金鑰,但知道是哪項 API 持續產生費用,可以暫時停用該 API。

操作路徑:

Google Cloud Console
→ API 和服務
→ 已啟用的 API 和服務
→ 選擇異常 API
→ 停用

例如:

  • Maps JavaScript API
  • Places API
  • Geocoding API
  • Routes API
  • Street View Static API

停用後,該專案中依賴這項 API 的正常網站與 App 也可能停止運作。

因此,這種方法適合:

  • 費用正在快速增加
  • 一時找不到外洩金鑰
  • 該服務可以暫時中斷
  • 需要先爭取調查時間

不要停用整個專案中所有 API,除非已確認影響範圍。


方法五:降低配額避免費用繼續暴增

即使已經刪除外洩金鑰,也應檢查相關 API 的配額。

可設定:

  • 每分鐘請求上限
  • 每位使用者每分鐘上限
  • 每日請求量
  • 特定方法的使用上限

配額不等於預算警示。

預算警示主要負責寄送通知,不一定會在達到金額時自動關閉 API。

建議依照正常流量設定合理緩衝,例如平常每日使用2,000次,可以依尖峰需求設定5,000次或10,000次,而不是保留極高上限。

設定太低可能使正常使用者收到配額超限錯誤,因此應對照過去30天的流量後再調整。


如果不知道哪一把 API Key 被盜用怎麼辦?

第一步:查看 API 流量

前往:

找出:

  • 哪一項 API 請求量暴增
  • 異常開始時間
  • 成功與失敗請求比例
  • 是否與網站流量相符

第二步:查看帳單報表

前往:

依序查看:

帳單
→ 報表
→ 依專案分組
→ 依服務分組
→ 依 SKU 分組

記錄:

  • 專案名稱
  • 服務名稱
  • SKU
  • 異常日期
  • 每日增加金額

第三步:盤點所有金鑰

在憑證頁面逐一檢查:

  • 名稱
  • 建立日期
  • 網域限制
  • IP限制
  • API限制
  • 是否仍有用途
  • 是否曾交給外部廠商

刪除用途不明且沒有任何限制的舊金鑰前,仍應確認是否有正式系統依賴。


第四步:搜尋程式碼與公開內容

搜尋:

  • GitHub
  • GitLab
  • 網站原始碼
  • WordPress設定
  • 公司文件
  • 教學影片
  • 群組聊天紀錄
  • Email
  • .env
  • CI/CD 設定

確認是否有完整金鑰被公開。

Google 官方建議不要將 API Key 直接寫入原始碼,而應使用環境變數、祕密管理工具或放在原始碼目錄之外的設定檔。


刪除 API Key 後費用會立刻停止嗎?

刪除 API Key 後,該金鑰不應再能成功呼叫受保護的 Google API。

但帳單頁面可能仍繼續出現費用,常見原因包括:

  1. 刪除前已完成的請求延後寫入帳單。
  2. 帳單報表存在更新延遲。
  3. 專案還有其他 API Key。
  4. 異常費用來自其他專案。
  5. 費用來自 Compute Engine、Cloud Run、Storage或其他服務。
  6. 外洩的是服務帳戶金鑰,不是一般 API Key。

因此,刪除後要持續觀察:

  • API流量是否下降
  • 每日費用是否停止增加
  • 其他金鑰是否仍有異常使用
  • 是否有陌生資源被建立

刪除錯誤的 API Key 可以復原嗎?

Google API Keys API 官方文件目前說明,刪除的 API Key 可以在刪除後30天內復原;超過期間後會被清除。

不過,能否在管理介面中直接復原,可能受到權限與介面版本影響。

如果誤刪:

  1. 不要公開原金鑰。
  2. 先嘗試在 Google Cloud Console 查找已刪除金鑰。
  3. 無法復原時直接建立新金鑰。
  4. 套用原有限制。
  5. 更新系統。
  6. 測試服務。

如果刪除的是已遭盜用的金鑰,則不建議復原後重新使用。


外洩的是服務帳戶 JSON 金鑰怎麼辦?

服務帳戶金鑰和一般 API Key 不一樣。

一般 API Key 通常是一串字元;服務帳戶金鑰則常以 JSON 檔案形式出現,其中可能包含:

  • private_key
  • client_email
  • private_key_id
  • project_id

若外洩的是服務帳戶 JSON,風險通常更高,因為攻擊者可能取得服務帳戶所擁有的 IAM 權限。

Google 官方建議,懷疑服務帳戶金鑰遭到入侵時應立即輪替;流程通常是建立新金鑰、更新系統、停用舊金鑰、確認服務正常後再刪除。

操作位置:

Google Cloud Console
→ IAM與管理
→ 服務帳戶
→ 選擇服務帳戶
→ 金鑰

處理步驟:

  1. 建立新的服務帳戶金鑰。
  2. 更新所有應用程式。
  3. 停用外洩的舊金鑰。
  4. 觀察系統是否正常。
  5. 刪除舊金鑰。
  6. 檢查 Cloud Audit Logs。
  7. 檢查服務帳戶 IAM 權限。
  8. 確認是否建立陌生資源。

Google 官方說明,刪除服務帳戶金鑰後將無法還原,並會永久阻止該金鑰繼續用於驗證。


常見問題

修改 API Key 名稱可以停用嗎?

不可以。

修改顯示名稱只會改變管理介面中的標籤,不會改變完整金鑰字串,也不會阻止第三方使用。


加上網域限制後,還要刪除舊金鑰嗎?

如果只是網站前端正常可見,而且一直都有正確限制、沒有異常流量,可以不一定更換。

但若已經確認:

  • 金鑰出現在公開 GitHub
  • 有陌生網域使用
  • 產生異常費用
  • Google通知外洩
  • 完整金鑰被不明人士取得

就應完成輪替並刪除舊金鑰。


直接刪除 API Key 會讓網站壞掉嗎?

可能會。

使用該金鑰的功能可能出現:

  • Google地圖無法顯示
  • 地址搜尋失敗
  • 路線規劃失敗
  • App無法載入相關內容
  • 後端API呼叫失敗
  • 自動化流程停止

若費用沒有快速增加,建議先建立新金鑰並完成替換。

若費用持續暴增,則應優先止損。


關閉付款帳戶可以停止盜刷嗎?

不建議作為第一個處理方式。

關閉或解除付款可能影響同一帳單帳戶下的其他正式服務,而且已經產生的費用不會自動消失。

應先:

  1. 刪除外洩金鑰。
  2. 停用異常API。
  3. 降低配額。
  4. 檢查其他專案與憑證。
  5. 再評估帳單帳戶處理方式。

刪除 API Key 後,已產生的費用會消失嗎?

不會。

刪除金鑰只能阻止後續使用,不會自動取消刪除前已完成的請求。

如果費用來自未授權使用,應保留證據並聯絡 Google Cloud Billing 支援。是否減免或退款,仍由 Google 依個案審核。


預算設為1,000元,費用就不會超過嗎?

不一定。

預算通常用於通知與追蹤,並不是保證在金額達到上限後立即停止所有 API。

應同時設定:

  • 預算警示
  • API配額
  • 網域或IP限制
  • API服務限制
  • 異常流量監控

找不到刪除按鈕怎麼辦?

常見原因包括:

  • 登入錯誤的Google帳號
  • 選到錯誤專案
  • 只有檢視權限
  • 缺少 API Keys Admin 權限
  • 金鑰由組織政策管理

Google 官方說明,管理 API Key 通常需要 API Keys Admin 角色;設定特定 API 限制時,可能還需要 Service Usage Viewer

請聯絡公司 Google Cloud 專案擁有者或組織管理員處理。


Google 官方重要連結

以下網址請使用 WordPress 一般文字超連結、按鈕連結或直接顯示網址,不要使用「嵌入內容」區塊。

Google Cloud 管理入口

Google Cloud Console
https://console.cloud.google.com/

API與服務資訊主頁
https://console.cloud.google.com/apis/dashboard

API憑證管理
https://console.cloud.google.com/apis/credentials

Google Cloud帳單
https://console.cloud.google.com/billing

Google Cloud預算與警示
https://console.cloud.google.com/billing/budgets

Google 官方說明

管理 API Key
https://cloud.google.com/docs/authentication/api-keys

API Key 安全管理最佳做法
https://cloud.google.com/docs/authentication/api-keys-best-practices

建立與刪除 API Key
https://cloud.google.com/api-keys/docs/create-manage-api-keys

為 API Key 加入限制
https://cloud.google.com/api-keys/docs/add-restrictions-api-keys

處理遭入侵的 Google Cloud 憑證
https://cloud.google.com/docs/security/compromised-credentials

服務帳戶金鑰停用與啟用
https://cloud.google.com/iam/docs/keys-disable-enable

建立與刪除服務帳戶金鑰
https://cloud.google.com/iam/docs/keys-create-delete

Google Cloud Billing支援
https://cloud.google.com/support/docs/get-billing-support


結語:費用正在增加時,先刪除舊金鑰止損

停用被盜用的 Google API Key,應依風險採取不同處理方式。

如果費用仍在快速增加,最優先的動作是:

  1. 保留必要證據。
  2. 找到外洩的 API Key。
  3. 立即刪除舊金鑰。
  4. 停用不需要的 API。
  5. 調低相關配額。
  6. 檢查是否還有其他外洩憑證。
  7. 建立受限制的新金鑰。
  8. 更新網站、App與後端系統。
  9. 觀察流量及帳單。
  10. 聯絡 Google Cloud Billing 支援。

如果正式系統不能中斷,則應先建立新金鑰、設定來源與 API 限制、完成替換,確認功能正常後再刪除舊金鑰。

只刪除 GitHub 程式碼、修改金鑰名稱或關閉通知,都無法真正讓已外洩的 API Key 失效。


需要規劃網站 API 串接、流量追蹤與數位廣告嗎?

網站使用 Google Maps、Google API、GA4或 Google Ads 時,除了完成串接,也應建立清楚的憑證管理、配額限制、流量監控與行銷轉換追蹤機制。

 數位果子科技有限公司 提供:

  • 網站與 API 串接需求規劃
  • GA4與 Google Search Console 數據整合
  • SEO關鍵字與內容策略
  • Google Ads關鍵字廣告投放
  • Facebook、Instagram社群廣告投放
  • 網站轉換追蹤與行銷流程規劃
  • AI內容產製與行銷自動化規劃

本公司服務重點為網站建置、數位行銷、SEO內容與廣告投放,不代理 Google Cloud 帳單退款、帳戶救援或 Google 官方客服。若已產生異常 API 費用,仍應透過 Google Cloud Billing 官方支援管道提出。

數位果子科技有限公司
合作專線:0970-357-535
LINE:cherng65

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *