數位果子 BLOG
本站是數位果子的部落格網站。

Google API Key 建立完成後,不能只確認網站或程式能正常運作,還應持續監控 API 請求量、錯誤率、費用及配額使用狀況。
如果沒有建立監控機制,API Key 即使遭到外部網站盜用、程式發生重複呼叫,或爬蟲短時間大量觸發,管理者往往要等到收到高額帳單後才發現問題。
Google Cloud 提供 API 資訊主頁、Cloud Monitoring、預算警示與配額通知等功能,可用來追蹤請求次數、錯誤率、延遲時間及費用變化。部分情況還能使用 credential_id 篩選特定 API Key 的流量。
本文將說明如何建立一套實用的 Google API Key 監控機制,及早發現異常流量並降低盜刷風險。



讓更多人搜尋到你的產品?現在有機會免費行銷 20 天!
現在越來越多品牌開始透過 內容行銷,讓產品被 Google 搜尋到。
我們現在開放 20 天免費內容行銷體驗,透過搜尋曝光與內容推廣,幫助你的產品被更多人看見。
發現的情況 | 可能原因 | 風險程度 | 建議處理 |
|---|---|---|---|
請求量突然增加數倍 | 金鑰遭盜用、活動流量或程式錯誤 | 高 | 查看時間、服務與憑證來源 |
深夜持續出現大量流量 | 自動化攻擊、爬蟲或排程異常 | 高 | 檢查來源並限制金鑰 |
網站流量沒增加,API 卻暴增 | 金鑰遭外部程式使用 | 高 | 比對 GA4、伺服器紀錄與 API 指標 |
4xx 錯誤突然增加 | 金鑰限制錯誤、無效請求或攻擊測試 | 中高 | 查看錯誤代碼與呼叫來源 |
5xx 錯誤突然增加 | API 服務、後端系統或程式異常 | 中 | 查看服務狀態與程式紀錄 |
每日費用突然增加 | 高單價 API 被大量呼叫 | 高 | 查看帳單中的服務與 SKU |
出現未使用過的 API | 金鑰未設定 API 限制 | 高 | 關閉服務並輪替金鑰 |
配額接近上限 | 正常成長或異常流量 | 中高 | 建立配額警示並確認來源 |
收到預算警示 | 當月費用達到門檻 | 高 | 立即檢查帳單及 API 流量 |
特定 API Key 流量異常 | 單一系統或金鑰可能外洩 | 高 | 更換該金鑰並檢查使用位置 |
請求次數是最基本的監控指標。
建議至少查看:
如果網站每天通常只有2,000次 API 請求,某一天突然增加到10萬次,就應立即調查。
Google API 會產生詳細的使用指標,包括請求數、錯誤率、延遲時間、請求大小及回應大小,可透過 API 資訊主頁或 Cloud Monitoring 查看。
只看請求量還不夠,也要查看錯誤代碼。
常見類型包括:
通常代表請求本身存在問題,例如:
若大量出現4xx錯誤,可能有人正在測試外洩金鑰,或程式持續發送無效請求。
通常代表伺服器或服務端異常,例如:
即使失敗請求不一定全部計費,大量錯誤仍可能造成效能、配額與營運問題。
如果 API 平均回應時間突然變長,可能表示:
延遲增加不一定代表金鑰被盜用,但若同時伴隨請求量暴增,就值得提高警覺。
配額可以限制 API 在特定時間內可接受的請求量。
常見配額包括:
Google Cloud 可讓管理者查看及調整計費 API 的配額;Google Maps Platform 也支援在配額頁面建立用量通知,當使用量接近設定門檻時發出警示。
有些異常不會立即反映在請求量圖表中,但會出現在帳單報表。
應監控:
Google Cloud 預算可用來追蹤實際支出與設定預算之間的差距,並在達到指定門檻時寄出警示。必須注意,預算警示不會自動限制服務或停止計費。
這是最容易開始的監控方法,適合不熟悉 Cloud Monitoring 的使用者。
前往:
使用管理 API Key 的 Google 帳號登入。
登入後,先確認頁面上方選擇的是正確專案。
前往:
或依序進入:
Google Cloud Console
→ API 和服務
→ 已啟用的 API 和服務
這個頁面通常可以查看:
Google 官方說明,API 指標可以在 API 資訊主頁及 Cloud Monitoring 中查看,而且顯示的是所選專案的使用情況,不代表 Google 整體服務狀態。
建議依序查看:
判斷異常時,不要只看單一時間點。
例如今天下午流量突然增加,可以與以下數據比較:
選擇流量異常的服務,例如:
查看:
如果公司只使用 Google Maps,卻出現其他未預期 API 的流量,應立即檢查金鑰的 API 限制。
如果專案中有多把 API Key,只看整體 API 流量可能無法判斷是哪一把金鑰造成異常。
此時可使用 Cloud Monitoring 的 Metrics Explorer。
前往:
確認目前選擇的是正確專案。
可搜尋以下指標:
serviceruntime.googleapis.com/api/request_count
此指標用來計算不同服務被呼叫的次數。Google 官方說明,可搭配 credential_id 標籤篩選特定 API Key 的唯一識別資訊。
介面中可能顯示為類似:
Consumed API
→ Request count
不同 Cloud Console 版本的顯示名稱可能略有差異。
可依 service 篩選特定 API,例如:
maps-backend.googleapis.com
geocoding-backend.googleapis.com
places-backend.googleapis.com
generativelanguage.googleapis.com
實際服務名稱應以 Metrics Explorer 顯示的可選值為準。
加入標籤:
credential_id
再選擇對應的 API Key ID。
需要注意,credential_id 通常是 API Key 的識別 ID,不是應該公開或貼入文件的完整 API Key 字串。Google Cloud 的監控資源將 credential_id 定義為用戶端憑證識別碼,例如 API Key ID 或 OAuth Client ID。
並不是所有 API、指標或介面都一定會顯示相同標籤。如果找不到 credential_id,可以先依:
縮小調查範圍。
建議設定:
credential_id這樣可以快速看出哪一把金鑰突然出現大量請求。
只查看圖表仍屬於人工監控。更有效的做法是建立警示,當請求量超過門檻時主動通知管理者。
例如網站平常每5分鐘最多500次請求,可以設定:
5分鐘內超過1,500次請求時通知
或依每日流量設定:
每小時超過正常平均值3倍時通知
門檻應依歷史數據設定,不要直接照抄固定數字。
credential_id 篩選。通知管道可依管理介面提供的選項設定,例如:
可先觀察過去30天,找出:
再依風險建立多層警示。
警示層級 | 建議條件範例 | 處理方式 |
|---|---|---|
注意 | 超過平常平均值150% | 查看是否有活動或流量成長 |
警告 | 超過平常平均值300% | 檢查金鑰、來源與程式 |
嚴重 | 超過平常平均值500% | 限制配額或輪替金鑰 |
緊急 | 費用與流量同時暴增 | 立即刪除或停用外洩金鑰 |
實際門檻仍應依網站規模調整。
Google Maps Platform 使用者可以在配額頁面為特定 API 建立用量警示。
Google 官方說明,Google Maps Platform 的配額警示可在 API 使用量接近指定門檻時通知管理者。
管理入口:
作用是通知管理者:
目前使用量已接近設定門檻
不一定會停止 API。
作用是限制 API 可使用的最高請求量。
到達上限後,後續請求可能被拒絕。
因此,較安全的設定方式是同時建立:
API 流量正常不代表費用一定正常。不同 API 或 SKU 的單價可能不同,因此還要監控帳單。
前往:
依序設定:
假設平常每月 API 費用約新台幣3,000元,可以設定:
預算門檻 | 金額範例 | 用途 |
|---|---|---|
50% | NT$1,500 | 提前確認使用趨勢 |
80% | NT$2,400 | 檢查是否超出正常範圍 |
100% | NT$3,000 | 立即查看服務與 SKU |
120% | NT$3,600 | 啟動異常處理程序 |
200% | NT$6,000 | 緊急限制或停止服務 |
Google Cloud 預算可以通知費用趨勢,但不會因達到預算金額而自動停止服務或計費。
這一點非常重要。
即使設定每月預算新台幣3,000元,當費用達到3,000元時,Google Cloud 通常仍可能繼續提供服務並產生帳單。
因此不能只設定預算,還要搭配:
Google Cloud Billing 提供費用異常相關功能,可協助找出與正常支出模式不一致的成本變化。
可查看:
Google Cloud 也支援將預算或異常通知連接至 Pub/Sub,讓公司建立自動化通知及後續處理流程。
帳單異常入口可從 Google Cloud Billing 管理介面進入。
可將 API 請求量與 GA4 數據比較。
例如:
網站使用者增加10%
API請求量增加800%
這通常不符合正常比例。
可能原因包括:
如果 API 流量在網站改版後立即增加,應先檢查程式。
常見問題包括:
這些情況不一定是盜用,但同樣可能產生大量費用。
如果公司服務只在白天使用,但凌晨仍有固定大量流量,就應檢查:
若原本只使用 Maps JavaScript API,卻出現 Places API、Routes API 或其他服務流量,可能代表:
大量成功請求代表金鑰可能正在被有效使用。
大量失敗請求則可能代表:
兩種情況都需要調查。
對一般網站或中小企業,可採用以下配置:
credential_id 分開顯示各金鑰Google 官方建議為 API Key 加入限制、刪除不需要的金鑰、建立完整監控與記錄機制,並定期輪替金鑰,以降低未授權使用及非預期費用的風險。
記錄:
可以先:
如果已出現陌生流量,或無法確定金鑰是否被第三方取得,建議:
更換金鑰後仍應觀察:
Cloud Monitoring 可以在指標超過設定門檻時發出警示,但系統不一定能直接判定「這一定是盜用」。
管理者仍需綜合判斷:
部分 Google API 指標可利用 credential_id 標籤篩選特定 API Key ID。Google 官方也曾說明,可透過 serviceruntime.googleapis.com/api/request_count 搭配 credential_id 查看特定金鑰的請求數。
但不同 API 提供的監控標籤可能不同。如果介面中找不到該欄位,可先依 API 服務、方法及時間範圍調查。
API 資訊主頁比較容易使用,適合快速查看單一專案的整體 API 流量。
Cloud Monitoring 則適合:
不能單獨阻止。
預算警示主要負責通知,不會自動限制 Google Cloud 或 Google Maps Platform 的服務及支出。
應搭配配額、金鑰限制與流量警示。
不一定。
配額太低可能讓正常使用者遇到:
RESOURCE_EXHAUSTED應根據過去30天尖峰流量設定合理緩衝。
常見原因包括:
應從帳單報表依專案、服務及 SKU 分組查看。
仍然需要。
專案可能:
即使沒有產生費用,異常流量仍可能影響正常服務。
API Keys 服務本身不收費;但使用 Cloud Monitoring、Logging、Pub/Sub、BigQuery 或其他進階功能時,可能依各服務的免費用量與計價方式產生費用。Google 官方目前將 API Keys 列為免費服務。
以下網址請使用 WordPress 一般文字超連結、按鈕或直接顯示網址,不要使用「嵌入內容」區塊。
監控 Google API Key 的異常使用量,至少應建立四層防護:
較完整的做法,是在 Cloud Monitoring 中使用 API request count 指標,依服務或 credential_id 區分流量,並建立自動警示。
如果流量突然暴增,應立即比對網站訪客、程式部署及帳單。只要出現陌生使用、異常費用或無法解釋的 API 請求,就應限制配額、建立新金鑰並刪除舊金鑰。
網站使用 Google Maps、Google API、GA4 或 Google Ads 時,除了完成 API 串接,也應建立配額、流量、費用及轉換追蹤機制,才能及早發現程式錯誤、流量異常與非預期成本。
數位果子科技有限公司 提供:
本公司服務重點為網站建置、數位行銷、SEO內容與廣告投放,不代理 Google Cloud 帳單申訴、帳戶救援或 Google 官方客服。若已產生 API 異常費用,仍應透過 Google Cloud Billing 官方支援管道處理。
數位果子科技有限公司
合作專線:0970-357-535
LINE:cherng65