如何監控 Google API Key 的異常使用量?流量警示、費用通知與配額設定教學

Google API Key 建立完成後,不能只確認網站或程式能正常運作,還應持續監控 API 請求量、錯誤率、費用及配額使用狀況。

如果沒有建立監控機制,API Key 即使遭到外部網站盜用、程式發生重複呼叫,或爬蟲短時間大量觸發,管理者往往要等到收到高額帳單後才發現問題。

Google Cloud 提供 API 資訊主頁、Cloud Monitoring、預算警示與配額通知等功能,可用來追蹤請求次數、錯誤率、延遲時間及費用變化。部分情況還能使用 credential_id 篩選特定 API Key 的流量。

本文將說明如何建立一套實用的 Google API Key 監控機制,及早發現異常流量並降低盜刷風險。


讓更多人搜尋到你的產品?現在有機會免費行銷 20 天!
現在越來越多品牌開始透過 內容行銷,讓產品被 Google 搜尋到。

我們現在開放 20 天免費內容行銷體驗,透過搜尋曝光與內容推廣,幫助你的產品被更多人看見。

Google API Key 異常使用快速對照表

發現的情況
可能原因
風險程度
建議處理
請求量突然增加數倍
金鑰遭盜用、活動流量或程式錯誤
查看時間、服務與憑證來源
深夜持續出現大量流量
自動化攻擊、爬蟲或排程異常
檢查來源並限制金鑰
網站流量沒增加,API 卻暴增
金鑰遭外部程式使用
比對 GA4、伺服器紀錄與 API 指標
4xx 錯誤突然增加
金鑰限制錯誤、無效請求或攻擊測試
中高
查看錯誤代碼與呼叫來源
5xx 錯誤突然增加
API 服務、後端系統或程式異常
查看服務狀態與程式紀錄
每日費用突然增加
高單價 API 被大量呼叫
查看帳單中的服務與 SKU
出現未使用過的 API
金鑰未設定 API 限制
關閉服務並輪替金鑰
配額接近上限
正常成長或異常流量
中高
建立配額警示並確認來源
收到預算警示
當月費用達到門檻
立即檢查帳單及 API 流量
特定 API Key 流量異常
單一系統或金鑰可能外洩
更換該金鑰並檢查使用位置

Google API Key 應監控哪些項目?

1. API 請求次數

請求次數是最基本的監控指標。

建議至少查看:

  • 每分鐘請求數
  • 每小時請求數
  • 每日請求數
  • 最近7天趨勢
  • 最近30天趨勢
  • 與前一天相同時段比較
  • 與上週相同日期比較

如果網站每天通常只有2,000次 API 請求,某一天突然增加到10萬次,就應立即調查。

Google API 會產生詳細的使用指標,包括請求數、錯誤率、延遲時間、請求大小及回應大小,可透過 API 資訊主頁或 Cloud Monitoring 查看。


2. API 錯誤率

只看請求量還不夠,也要查看錯誤代碼。

常見類型包括:

4xx 錯誤

通常代表請求本身存在問題,例如:

  • API Key 無效
  • 金鑰限制不符
  • 網域未被允許
  • IP 位址不符
  • API 尚未啟用
  • 超過配額
  • 請求參數錯誤

若大量出現4xx錯誤,可能有人正在測試外洩金鑰,或程式持續發送無效請求。

5xx 錯誤

通常代表伺服器或服務端異常,例如:

  • Google API 暫時無法處理
  • 後端服務問題
  • 程式重試次數過多
  • 服務發生短暫故障

即使失敗請求不一定全部計費,大量錯誤仍可能造成效能、配額與營運問題。


3. API 延遲時間

如果 API 平均回應時間突然變長,可能表示:

  • 使用量暴增
  • 後端程式重複呼叫
  • API 服務出現問題
  • 網路路徑異常
  • 系統開始大量重試

延遲增加不一定代表金鑰被盜用,但若同時伴隨請求量暴增,就值得提高警覺。


4. 配額使用率

配額可以限制 API 在特定時間內可接受的請求量。

常見配額包括:

  • 每分鐘請求數
  • 每位使用者每分鐘請求數
  • 每日請求數
  • 特定方法或端點的請求數

Google Cloud 可讓管理者查看及調整計費 API 的配額;Google Maps Platform 也支援在配額頁面建立用量通知,當使用量接近設定門檻時發出警示。


5. Google Cloud 費用

有些異常不會立即反映在請求量圖表中,但會出現在帳單報表。

應監控:

  • 每日總費用
  • 各專案費用
  • 各服務費用
  • 各 SKU 費用
  • 預估月底費用
  • 與上月同期比較
  • 是否出現陌生服務

Google Cloud 預算可用來追蹤實際支出與設定預算之間的差距,並在達到指定門檻時寄出警示。必須注意,預算警示不會自動限制服務或停止計費。


方法一:使用 API 與服務資訊主頁查看流量

這是最容易開始的監控方法,適合不熟悉 Cloud Monitoring 的使用者。

步驟一:登入 Google Cloud Console

前往:

Google Cloud Console

使用管理 API Key 的 Google 帳號登入。

登入後,先確認頁面上方選擇的是正確專案。


步驟二:開啟 API 與服務資訊主頁

前往:

API 與服務資訊主頁

或依序進入:

Google Cloud Console
→ API 和服務
→ 已啟用的 API 和服務

這個頁面通常可以查看:

  • API 名稱
  • 請求次數
  • 錯誤率
  • 延遲時間
  • 最近流量趨勢
  • 已啟用服務

Google 官方說明,API 指標可以在 API 資訊主頁及 Cloud Monitoring 中查看,而且顯示的是所選專案的使用情況,不代表 Google 整體服務狀態。


步驟三:切換不同時間範圍

建議依序查看:

  • 最近1小時
  • 最近6小時
  • 最近24小時
  • 最近7天
  • 最近30天

判斷異常時,不要只看單一時間點。

例如今天下午流量突然增加,可以與以下數據比較:

  • 昨天下午相同時段
  • 上週同一天
  • 上個月平均值
  • 網站活動或廣告投放時間

步驟四:點進單一 API

選擇流量異常的服務,例如:

  • Maps JavaScript API
  • Places API
  • Geocoding API
  • Routes API
  • YouTube Data API
  • Generative Language API
  • Cloud Translation API
  • Vision API

查看:

  1. 流量何時開始增加
  2. 成功與失敗請求比例
  3. 是否出現配額錯誤
  4. 是否與網站訪客量相符
  5. 是否為公司實際使用的 API

如果公司只使用 Google Maps,卻出現其他未預期 API 的流量,應立即檢查金鑰的 API 限制。


方法二:使用 Cloud Monitoring 監控特定 API Key

如果專案中有多把 API Key,只看整體 API 流量可能無法判斷是哪一把金鑰造成異常。

此時可使用 Cloud Monitoring 的 Metrics Explorer。

步驟一:開啟 Metrics Explorer

前往:

Google Cloud Metrics Explorer

確認目前選擇的是正確專案。


步驟二:選擇 API 請求數指標

可搜尋以下指標:

serviceruntime.googleapis.com/api/request_count

此指標用來計算不同服務被呼叫的次數。Google 官方說明,可搭配 credential_id 標籤篩選特定 API Key 的唯一識別資訊。

介面中可能顯示為類似:

Consumed API
→ Request count

不同 Cloud Console 版本的顯示名稱可能略有差異。


步驟三:加入服務篩選條件

可依 service 篩選特定 API,例如:

maps-backend.googleapis.com
geocoding-backend.googleapis.com
places-backend.googleapis.com
generativelanguage.googleapis.com

實際服務名稱應以 Metrics Explorer 顯示的可選值為準。


步驟四:依 credential_id 篩選

加入標籤:

credential_id

再選擇對應的 API Key ID。

需要注意,credential_id 通常是 API Key 的識別 ID,不是應該公開或貼入文件的完整 API Key 字串。Google Cloud 的監控資源將 credential_id 定義為用戶端憑證識別碼,例如 API Key ID 或 OAuth Client ID。

並不是所有 API、指標或介面都一定會顯示相同標籤。如果找不到 credential_id,可以先依:

  • API 服務
  • 回應代碼
  • 方法
  • 專案
  • 時間範圍

縮小調查範圍。


步驟五:設定圖表方式

建議設定:

  • 圖表類型:折線圖
  • 時間間隔:1分鐘或5分鐘
  • 對齊函數:總和
  • 分組:credential_id
  • 顯示區間:最近24小時或7天

這樣可以快速看出哪一把金鑰突然出現大量請求。


方法三:建立 Cloud Monitoring 警示政策

只查看圖表仍屬於人工監控。更有效的做法是建立警示,當請求量超過門檻時主動通知管理者。

適合建立的警示條件

例如網站平常每5分鐘最多500次請求,可以設定:

5分鐘內超過1,500次請求時通知

或依每日流量設定:

每小時超過正常平均值3倍時通知

門檻應依歷史數據設定,不要直接照抄固定數字。


建立警示的基本步驟

  1. 開啟 Cloud Monitoring。
  2. 進入「Alerting/警示」。
  3. 建立新的警示政策。
  4. 選擇 API request count 指標。
  5. 加入 API 服務或 credential_id 篩選。
  6. 設定觸發門檻。
  7. 設定持續時間。
  8. 加入通知管道。
  9. 儲存警示政策。

通知管道可依管理介面提供的選項設定,例如:

  • Email
  • Google Cloud 行動應用程式
  • Pub/Sub
  • Webhook
  • 第三方協作或事件管理工具

門檻應該設多少?

可先觀察過去30天,找出:

  • 平均每分鐘請求量
  • 尖峰每分鐘請求量
  • 每日最高請求量
  • 活動期間最高流量
  • 平日與假日差異

再依風險建立多層警示。

警示層級
建議條件範例
處理方式
注意
超過平常平均值150%
查看是否有活動或流量成長
警告
超過平常平均值300%
檢查金鑰、來源與程式
嚴重
超過平常平均值500%
限制配額或輪替金鑰
緊急
費用與流量同時暴增
立即刪除或停用外洩金鑰

實際門檻仍應依網站規模調整。


方法四:設定 Google Maps Platform 配額警示

Google Maps Platform 使用者可以在配額頁面為特定 API 建立用量警示。

操作步驟

  1. 開啟 Google Maps Platform 配額頁面。
  2. 選擇正確專案。
  3. 選擇需要監控的 API。
  4. 選取要監控的配額項目。
  5. 點選更多選單。
  6. 選擇建立使用量警示。
  7. 設定通知門檻。

Google 官方說明,Google Maps Platform 的配額警示可在 API 使用量接近指定門檻時通知管理者。

管理入口:

Google Maps Platform 配額


配額警示和配額上限有什麼不同?

配額警示

作用是通知管理者:

目前使用量已接近設定門檻

不一定會停止 API。

配額上限

作用是限制 API 可使用的最高請求量。

到達上限後,後續請求可能被拒絕。

因此,較安全的設定方式是同時建立:

  • 50%使用量通知
  • 80%使用量通知
  • 90%使用量通知
  • 合理的最高配額

方法五:設定 Google Cloud 預算與費用警示

API 流量正常不代表費用一定正常。不同 API 或 SKU 的單價可能不同,因此還要監控帳單。

建立預算步驟

前往:

Google Cloud 預算與警示

依序設定:

  1. 選擇付款帳戶。
  2. 建立預算。
  3. 設定預算名稱。
  4. 選擇專案。
  5. 選擇服務。
  6. 設定每月預算金額。
  7. 設定通知門檻。
  8. 選擇通知收件者。

建議設定的費用門檻

假設平常每月 API 費用約新台幣3,000元,可以設定:

預算門檻
金額範例
用途
50%
NT$1,500
提前確認使用趨勢
80%
NT$2,400
檢查是否超出正常範圍
100%
NT$3,000
立即查看服務與 SKU
120%
NT$3,600
啟動異常處理程序
200%
NT$6,000
緊急限制或停止服務

Google Cloud 預算可以通知費用趨勢,但不會因達到預算金額而自動停止服務或計費。


預算警示不是消費上限

這一點非常重要。

即使設定每月預算新台幣3,000元,當費用達到3,000元時,Google Cloud 通常仍可能繼續提供服務並產生帳單。

因此不能只設定預算,還要搭配:

  • API Key 限制
  • API 配額
  • 流量警示
  • 費用警示
  • 定期人工檢查
  • 異常處理流程

方法六:使用 Cloud Billing 異常偵測

Google Cloud Billing 提供費用異常相關功能,可協助找出與正常支出模式不一致的成本變化。

可查看:

  • 哪個服務費用異常
  • 哪個專案產生變化
  • 異常開始日期
  • 預估影響金額

Google Cloud 也支援將預算或異常通知連接至 Pub/Sub,讓公司建立自動化通知及後續處理流程。

帳單異常入口可從 Google Cloud Billing 管理介面進入。


如何判斷 API 流量是否真的異常?

1. 與網站流量比對

可將 API 請求量與 GA4 數據比較。

例如:

網站使用者增加10%
API請求量增加800%

這通常不符合正常比例。

可能原因包括:

  • JavaScript重複載入
  • API在迴圈中執行
  • 外部網站盜用金鑰
  • 爬蟲觸發功能
  • 程式自動重試失控

2. 與程式部署時間比對

如果 API 流量在網站改版後立即增加,應先檢查程式。

常見問題包括:

  • 每次畫面更新都重新載入地圖
  • 地址輸入每打一個字就呼叫多次 API
  • 排程程式重複執行
  • 發生錯誤後無限重試
  • 前端與後端重複查詢相同資料
  • 快取失效

這些情況不一定是盜用,但同樣可能產生大量費用。


3. 與營業時間比對

如果公司服務只在白天使用,但凌晨仍有固定大量流量,就應檢查:

  • 海外使用者
  • 自動排程
  • 爬蟲
  • 測試系統
  • 外部網站
  • 惡意程式

4. 檢查是否出現陌生 API

若原本只使用 Maps JavaScript API,卻出現 Places API、Routes API 或其他服務流量,可能代表:

  • 程式新增功能但未通知
  • 測試環境仍在執行
  • API Key 沒有服務限制
  • 金鑰被外部人士使用

5. 檢查成功與失敗請求比例

大量成功請求代表金鑰可能正在被有效使用。

大量失敗請求則可能代表:

  • 攻擊者正在測試金鑰
  • 金鑰限制已阻擋請求
  • 程式設定錯誤
  • 已超過配額

兩種情況都需要調查。


建議的 API Key 監控架構

對一般網站或中小企業,可採用以下配置:

基本監控

  • 每週查看 API 資訊主頁
  • 建立每月預算警示
  • 設定80%與100%配額通知
  • 每把金鑰設定來源限制
  • 每把金鑰設定 API 限制

進階監控

  • 建立 Cloud Monitoring 儀表板
  • credential_id 分開顯示各金鑰
  • 設定每5分鐘請求量警示
  • 設定4xx及5xx錯誤率警示
  • 建立費用異常通知
  • 將通知傳送給多位管理者

高風險系統

  • 正式站、測試站及 App 使用不同金鑰
  • 設定每日及每分鐘硬性配額
  • 串接 Pub/Sub 自動通知
  • 建立資安事件處理流程
  • 定期輪替 API Key
  • 使用 Secret Manager 保存後端憑證

Google 官方建議為 API Key 加入限制、刪除不需要的金鑰、建立完整監控與記錄機制,並定期輪替金鑰,以降低未授權使用及非預期費用的風險。


發現異常使用後應該怎麼處理?

第一階段:確認異常範圍

記錄:

  • 專案名稱
  • API 名稱
  • API Key ID
  • 異常開始時間
  • 每分鐘請求量
  • 錯誤率
  • 費用變化
  • 可能來源
  • 最近部署紀錄

第二階段:暫時降低風險

可以先:

  1. 調低每分鐘配額。
  2. 調低每日配額。
  3. 加入網域或 IP 限制。
  4. 限制可使用的 API。
  5. 停用不需要的 API。
  6. 暫停可疑測試系統。

第三階段:輪替 API Key

如果已出現陌生流量,或無法確定金鑰是否被第三方取得,建議:

  1. 建立新的 API Key。
  2. 設定應用程式限制。
  3. 設定 API 限制。
  4. 更新正式系統。
  5. 測試新金鑰。
  6. 刪除舊金鑰。

第四階段:持續觀察

更換金鑰後仍應觀察:

  • 舊流量是否停止
  • 新金鑰流量是否正常
  • 費用是否停止增加
  • 是否還有其他外洩憑證
  • 系統是否出現大量錯誤

常見問題

Google Cloud 可以直接通知 API Key 被盜用嗎?

Cloud Monitoring 可以在指標超過設定門檻時發出警示,但系統不一定能直接判定「這一定是盜用」。

管理者仍需綜合判斷:

  • 請求量
  • 使用時間
  • 網站流量
  • 程式部署
  • 帳單
  • 金鑰限制
  • 呼叫的 API

可以監控單一 API Key 嗎?

部分 Google API 指標可利用 credential_id 標籤篩選特定 API Key ID。Google 官方也曾說明,可透過 serviceruntime.googleapis.com/api/request_count 搭配 credential_id 查看特定金鑰的請求數。

但不同 API 提供的監控標籤可能不同。如果介面中找不到該欄位,可先依 API 服務、方法及時間範圍調查。


API 資訊主頁和 Cloud Monitoring 有什麼不同?

API 資訊主頁比較容易使用,適合快速查看單一專案的整體 API 流量。

Cloud Monitoring 則適合:

  • 建立自訂圖表
  • 依標籤篩選
  • 建立警示政策
  • 長期保存監控視圖
  • 依不同金鑰或服務分組

預算警示可以阻止盜刷嗎?

不能單獨阻止。

預算警示主要負責通知,不會自動限制 Google Cloud 或 Google Maps Platform 的服務及支出。

應搭配配額、金鑰限制與流量警示。


每分鐘配額設定越低越安全嗎?

不一定。

配額太低可能讓正常使用者遇到:

  • 地圖無法載入
  • 地址查詢失敗
  • 路線規劃失敗
  • App功能中斷
  • RESOURCE_EXHAUSTED
  • 配額超限錯誤

應根據過去30天尖峰流量設定合理緩衝。


為什麼流量停止後,費用仍在增加?

常見原因包括:

  • 帳單報表更新延遲
  • 先前請求較晚寫入帳單
  • 還有其他 API Key
  • 其他專案正在產生費用
  • 費用來自其他 Google Cloud 服務
  • 外洩的是服務帳戶金鑰

應從帳單報表依專案、服務及 SKU 分組查看。


API Key 沒有綁信用卡,還需要監控嗎?

仍然需要。

專案可能:

  • 使用免費試用額度
  • 連結公司統一付款帳戶
  • 使用促銷抵用金
  • 日後重新啟用帳單
  • 遭未授權使用而耗盡配額

即使沒有產生費用,異常流量仍可能影響正常服務。


API Key 本身的監控要收費嗎?

API Keys 服務本身不收費;但使用 Cloud Monitoring、Logging、Pub/Sub、BigQuery 或其他進階功能時,可能依各服務的免費用量與計價方式產生費用。Google 官方目前將 API Keys 列為免費服務。


Google 官方重要連結

以下網址請使用 WordPress 一般文字超連結、按鈕或直接顯示網址,不要使用「嵌入內容」區塊。

Google Cloud 管理入口

Google Cloud Console

API 與服務資訊主頁

Cloud Monitoring

Metrics Explorer

Google Cloud 配額管理

Google Maps Platform 配額

Google Cloud 帳單

預算與警示

API 憑證管理

Google 官方說明文件

監控 Google API 使用量

限制 API 使用量

建立 Google Cloud 預算與警示

Google Maps Platform 成本管理

API Key 安全管理最佳做法

API Keys 總覽

為 API Key 加入限制


結語:監控不能只看帳單,還要同時看流量、錯誤與配額

監控 Google API Key 的異常使用量,至少應建立四層防護:

  1. 流量監控:查看每分鐘、每小時及每日請求量。
  2. 錯誤監控:追蹤4xx、5xx與配額超限錯誤。
  3. 配額監控:設定使用量警示與合理上限。
  4. 費用監控:設定預算門檻及帳單異常通知。

較完整的做法,是在 Cloud Monitoring 中使用 API request count 指標,依服務或 credential_id 區分流量,並建立自動警示。

如果流量突然暴增,應立即比對網站訪客、程式部署及帳單。只要出現陌生使用、異常費用或無法解釋的 API 請求,就應限制配額、建立新金鑰並刪除舊金鑰。


需要規劃網站 API 串接、流量追蹤與數位廣告嗎?

網站使用 Google Maps、Google API、GA4 或 Google Ads 時,除了完成 API 串接,也應建立配額、流量、費用及轉換追蹤機制,才能及早發現程式錯誤、流量異常與非預期成本。

 數位果子科技有限公司 提供:

  • 網站與 API 串接需求規劃
  • GA4 與 Google Search Console 數據整合
  • Google Ads 關鍵字廣告投放
  • Facebook、Instagram 社群廣告投放
  •  SEO  關鍵字與內容策略
  • 網站轉換追蹤與行銷流程規劃
  • AI 內容產製與行銷自動化規劃

本公司服務重點為網站建置、數位行銷、SEO內容與廣告投放,不代理 Google Cloud 帳單申訴、帳戶救援或 Google 官方客服。若已產生 API 異常費用,仍應透過 Google Cloud Billing 官方支援管道處理。

數位果子科技有限公司
合作專線:0970-357-535
LINE:cherng65

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *