OKX 取引所プラットフォームで API 取引権限を確保するにはどうすればよいですか?

APIキーの作成と権限の割り当て

1. OKX プラットフォームにログインし、アカウント ドロップダウン メニューから [API 管理] セクションに移動します。

2. 新しい API キーの作成を開始し、その目的を区別するために「QuantBot-Spot-Only」などのわかりやすい名前を割り当てます。

3. 操作に厳密に必要な権限のみを選択します。残高と注文履歴の取得には読み取りを有効にし、自動注文発注が必要な場合にのみ取引を有効にします。

4. エアギャップ制御下にある検証済みのコールド ウォレット オーケストレーション システムによって絶対に義務付けられていない限り、出金許可は明示的に無効のままにしておきます。

5. 作成を確認し、生成された API キー、秘密キー、パスフレーズをプレーンテキスト ファイルやコード リポジトリではなく、暗号化されたボールトに直ちに記録します。

IP ホワイトリストとネットワーク強化

1. キー生成後、同じ API 設定パネル内の IP 制限設定にアクセスします。

2. 取引スクリプトをホストするサーバーまたはローカル マシンの正確な IPv4 または IPv6 アドレスを入力します。ワイルドカードや範囲は許可されません。

3. クラウド インフラストラクチャに展開する場合は、プロバイダー ダッシュボードから送信静的 IP を取得し、保存する前にライブ トラフィック ログと照合して検証します。

4. OKX アカウント自体の二要素認証を有効にし、侵害された API 認証情報であってもログイン レベルの保護をバイパスできないようにします。

5. ネットワーク下りルールを監視して、誤って設定されたプロキシまたはログ エージェントを通じて資格情報が漏洩する可能性のあるホスト環境からの意図しない送信接続を防止します。

コードベースでの秘密キーの処理

1. ソース ファイル内に未加工の認証情報を埋め込むことは避けてください。代わりに、アプリケーションの実行時以外で初期化された環境変数を通じて排他的にそれらをロードします。

2. Python では文字列リテラルではなくos.getenv('OKX_SECRET_KEY')を使用し、存在しない場合は明示的なエラー メッセージを表示して起動時に存在を検証します。

3. 運用環境の Docker デプロイメントでは、ビルド時の ARG ではなく、 --secretフラグまたは外部シークレット マウントを介してシークレットを注入します。

4. OKX 秘密キーの長さに一致する 16 進パターンをスキャンするgit-secretsや pre-commit フックなどのツールを使用して、すべての git 履歴を監査して、偶発的な認証情報の公開がないかを確認します。

5. アクティブな戦略展開中であっても、例外なく 90 日ごとにキーをローテーションし、更新後すぐに古いキーを無効にします。

署名生成のコンプライアンス

1. 署名文字列をメソッド + パス + タイムスタンプ + 本体として正確に構築します。タイムスタンプは Unix エポックからのミリ秒単位で、±1 秒以内に同期する必要があります。

2. 秘密キーをキーとして使用し、連結された文字列をメッセージとして使用して、HMAC-SHA256 ハッシュを適用します。base64 エンコードやパディング調整は許可されません。

3. 結果の 16 進ダイジェストを、変更またはプレフィックスを付けずにOK-ACCESS-SIGNヘッダー値として送信します。

4. 署名の構築に使用されるのと同じタイムスタンプを 10 進文字列としてフォーマットしたOK-ACCESS-TIMESTAMPヘッダーを含めます。

5. OKX の公式 V5 API ドキュメントで公開されている既知のテスト ベクトルに対して同じ出力を再現することで、署名の正確さを検証します。

実行時の動作の監視

1. マスクされた認証情報と完全なリクエスト ヘッダーを使用してすべてのアウトバウンド API リクエストをログに記録します。ただし、残高や注文 ID を含む応答本文はログに記録しないでください。

2. API キーごとに 1 秒あたり 20 リクエストという文書化されたレート制限を超える異常なリクエスト頻度のスパイクに対するアラートを設定します。

3. 送信前に注文ペイロードから導出されたチェックサムを使用して、実行された注文を予期されるパラメータと照合します。

4. ブロックチェーンエクスプローラーを統合して、開始された出金を独立して検証します。出金許可が無効のままであっても、監視はフォレンジックの準備として機能します。

5. タイムスタンプ、オペレーター ID、正当な理由メモなど、API 関連のすべての構成変更の不変の監査証跡を維持します。

よくある質問

Q: 複数のサーバー間で同じ API キーを再利用できますか? A: いいえ。各サーバー インスタンスには、特定の送信アドレスに設定された IP ホワイトリストを備えた独自の専用 API キーが必要です。

Q: システムクロックが 1 秒以上ずれるとどうなりますか? A: 署名検証はエラー コード 10000 で失敗します。 pool.ntp.org などの NTP サービスを使用して時刻を同期し、timedatectl ステータスとのずれを確認します。

Q: パスフレーズでは大文字と小文字が区別されますか? A: はい。 OKX はパスフレーズをバイナリ データとして扱います。大文字と小文字、スペース、および特殊文字は、API キーの作成時に入力されたとおりに正確に保持されます。

Q: 「読み取り」権限を有効にすると、API キーの使用統計が公開されますか? A: いいえ。使用状況メトリクスは、API Management の OKX Web インターフェイスでのみ表示されたままであり、パブリック エンドポイントやプライベート エンドポイントを介して取得することはできません。