API는 어떻게 인증하나요?

Most APIs authenticate each request by using a secret credential that the server references before responding. The requester sends their API key in a request header, which the server then validates and checks permissions for. The server will either fulfill the request or completely reject it based on whether that API key is allowed to act on a given account.

API 키는 어떻게 보관해야 하나요?

The best way to store an API key is within a secret manager, loading it into your active environment whenever needed. Committing a key to a repository or shipping it in an inspectable artifact would potentially expose the key. Never use long-lived keys on client-side applications.

API 키 교체(로테이션)란 무엇인가요?

An API key rotation is the process of replacing an existing key with a new one at a regular interval or whenever a breach is suspected by your team. Rotating keys are a low-effort method of reducing the total time an undetected leak can use a key for. If you overlap the old and new keys for a brief validation window, API key rotation can work without introducing any downtime to your system.

API 키 인증과 권한 부여(authorization)의 차이는 무엇인가요?

API authentication is a process that confirms the person making a request has access. Authorization then decides what that person can do within your system after they have access. API keys do both at once: checking for access and validating the scope of endpoints it can reach or, in some systems, how many credits it can spend.

클라이언트 앱에서 API 키를 안전하게 보호하려면 어떻게 해야 하나요?

The most effective way of securing API keys in client-side apps is by holding the key on your server, authenticating the user with your own session logic, then minting a single-use, short-lived token that you give to the client. Never use a long-lived key on anything shipped to the client, as this could essentially become public.

ElevenAPI를 위한 API 인증 및 키 관리

작성자: Tadas Petra; Jack Limebear
게시일: 2026년 6월 24일

듣기이 기사 오디오로 듣기

0:00

0:000:00

시작하기

자세히 알아보기

API 인증은 서비스가 들어오는 요청이 해당 계정에서 동작할 수 있는지 확인하는 방법입니다. 예를 들어, ElevenAPI에서는 API 자격 증명이 사용량 기반 크레딧을 소모하는 요청을 승인하고, 대규모로 음성 및 음악을 생성하며, 일부 환경에서는 민감한 오디오에 접근할 수 있도록 허용합니다.

키가 유출되면 비용이 발생하고, 내 계정으로 콘텐츠를 생성하는 데 악용될 수 있습니다. 또한 과도한 권한으로 플랫폼에 접근할 수 있어 데이터 유출이나 다양한 공격 경로가 생길 수 있습니다. 이미 2020년에도 90% 이상의 개발자가 일상적으로 API를 사용했습니다. 이제 모델 컨텍스트 프로토콜(MCP)과 AI 활용이 늘어나면서 API는 어디에나 존재합니다.

이 글에서는 API를 올바르게 인증하는 방법과 키의 전체 라이프사이클(스코프 설정, 교체, 조직적 제어, 감사, 사고 대응)에 걸친 관리 방법을 다룹니다. 이 내용을 참고해 팀에서 API 인증과 키 관리를 제대로 설정할 수 있습니다. 읽으면서 참고할 수 있도록 인증 레퍼런스와 일회용 토큰 레퍼런스를 함께 열어두세요.

요약

ElevenAPI는 모든 요청을 하나의 비밀값인 xi-api-key 헤더로 인증합니다. 즉, 키를 가진 누구나 크레딧을 사용하고 계정으로 오디오를 생성할 수 있습니다.
브라우저, 모바일 앱, 사용자가 확인할 수 있는 어떤 파일에도 장기 API 키를 절대 포함하지 마세요. 반드시 직접 제어하는 서버에만 보관해야 합니다.
클라이언트 측에서 사용하는 경우에는 반드시 서버에서 발급한 단기 일회용 토큰으로 인증해야 하며, 장기 키를 사용해서는 안 됩니다.
키의 권한을 최소화하고, 환경별로 분리하며, 정기적으로 교체하면 유출 시 피해 범위를 줄일 수 있습니다.
감사 및 이상 탐지를 통해 키 유출이나 예기치 않은 상황을 예방할 수 있습니다.

API 인증이란?

API 인증은 서비스가 들어오는 요청이 특정 계정에서 동작할 수 있는지 작업을 시작하기 전에 확인하는 과정입니다. 요청자가 자격 증명을 제시하면 서비스가 이를 검증하고, 검증이 완료되면 응답을 제공합니다.

간단히 말해, 이 요청이 해당 계정에서 동작할 수 있는지 여부를 판단하는 과정입니다. 이 과정은 인증된 요청이 시스템 내에서 무엇을 할 수 있는지 정의하는 API 권한 부여(authorization)와는 다르다는 점에 유의해야 합니다.

키 관리란?

키 관리는 API 키의 라이프사이클 전반을 관리하는 다양한 실천 방법을 의미합니다. 키를 어떻게 생성, 저장, 사용, 교체, 폐기할지 결정하는 과정입니다. 이러한 시스템은 API 키의 보안을 처음부터 끝까지 보장하기 위해 존재합니다.

엄격한 키 관리 시스템을 갖추면 키 유출을 방지하고, 키가 외부에 노출될 위험을 줄일 수 있습니다.

API 키 보안이 중요한 이유: 위협 모델

이제 인증과 키 관리의 정의를 알았으니, 키를 잘못 다뤘을 때 어떤 문제가 발생하는지 명확히 짚고 넘어갈 필요가 있습니다. 먼저 위협 모델을 살펴보면, 이후에 다루는 모든 실천 방법의 목적이 분명해집니다. 각각은 키 유출 가능성이나 유출 시 피해를 줄이기 위한 것입니다.

ElevenAPI는 하나의 비밀값(xi-api-key 헤더)으로 인증합니다. 키를 가진 사람은 누구나 인증되며, 요청 자체에는 추가 인증 단계가 없습니다.

키를 가지고 있으면 내 크레딧을 사용할 수 있습니다. 텍스트 음성 변환, 음성 텍스트 변환, 음악, 음향 효과 모두 사용량이 측정되며, 유효한 키를 가진 공격자는 할당량이나 잔액이 소진될 때까지 계속 생성할 수 있습니다.

대규모로 생성이 가능하며, 우리의 속도 제한 모델 때문에 이 상황은 생각보다 더 심각할 수 있습니다. 제한은 단순한 분당 요청 수가 아니라 동시성에 기반합니다. 특정 모델 패밀리에서 동시성 제한이 5인 요금제의 키는 상당한 수의 동시 생성을 유지할 수 있고, 이를 아는 공격자는 남용을 병렬로 진행할 수 있습니다.

내 계정으로 콘텐츠를 생성할 수 있습니다. 내 키로 생성된 모든 오디오는 내 워크스페이스에 귀속되며, 사용된 목소리와 입력에 따라 평판이나 법적 문제가 발생할 수 있습니다.

키가 유출되는 경로는 평범하며, 다른 자격 증명이 유출되는 방식과 동일합니다:

클라이언트 코드 내 API 키: 브라우저 번들, 모바일 바이너리, 싱글 페이지 앱에 포함된 키는 사실상 공개된 것과 같습니다. 난독화는 소스 은폐가 아닙니다.
저장소 내 API 키: Git에 하드코딩된 키(나중에 공개되거나 널리 복제된 비공개 저장소 포함), 추적 대상이 아니었던 .env 파일 등도 포함됩니다.
로그 및 트레이스 내 API 키: 요청 로거, 에러 트래커, 관측 파이프라인은 HTTP 헤더를 자주 캡처합니다. xi-api-key에 담긴 키는 로그 저장소, APM 벤더, 그리고 해당 접근 권한이 있는 누구에게나 노출될 수 있습니다.
CI 및 스크린샷 내 API 키: 빌드 로그, 지원 티켓, 공유 터미널 등에서 노출될 수 있습니다.

아래 각 섹션은 이러한 위험의 확률이나 영향을 줄이는 방법을 설명합니다.

가장 중요한 원칙: API 키는 반드시 서버에만 보관

이 글의 다른 내용들은 API 키 인증 및 관리의 위험을 줄이기 위한 방법입니다. 이 한 가지 원칙이 그 모든 것의 기초이며, 반드시 가장 먼저 실천해야 할 사항입니다.

방식이 매우 단순하기 때문에, 가장 중요한 원칙은 장기 API 키는 반드시 내가 제어하는 서버에만 있어야 한다는 점입니다. 브라우저, 모바일 앱, 데스크톱 클라이언트, 사용자가 다운로드하거나 확인할 수 있는 어떤 파일에도 포함되어서는 안 됩니다. 클라이언트 코드에 키가 있다면 이미 유출된 것으로 간주해야 합니다.

SDK는 ELEVENLABS_API_KEY를 자동으로 읽으므로, 가장 깔끔한 코드는 아무 값도 전달하지 않고 한 번만 클라이언트를 초기화하는 방식입니다.

import { ElevenLabsClient } from "@elevenlabs/elevenlabs-js";

// Reads process.env.ELEVENLABS_API_KEY when apiKey is omitted - never a literal.
const elevenlabs = new ElevenLabsClient();

const audio = await elevenlabs.textToSpeech.convert("JBFqnCBsd6RMkjVDRZzb", {
  text: "Generated entirely server-side.",
  modelId: "eleven_flash_v2_5",
  outputFormat: "mp3_44100_128",
});

운영 환경에서는 프로세스 시작 시 시크릿 매니저(AWS Secrets Manager, GCP Secret Manager, HashiCorp Vault 등)에서 값을 불러와야 하며, 이미지나 저장소에 커밋된 .env 파일에 포함해서는 안 됩니다.

클라이언트 앱을 위한 일회용 토큰

가장 중요한 원칙은 절대적이지만, 실제로 클라이언트가 ElevenAPI에 직접 접근해야 하는 경우가 많습니다. 예를 들어, 브라우저에서 스트리밍 텍스트 음성 변환을 재생하거나, 모바일 앱에서 오디오를 녹음해 전사하거나, 사용자의 탭에서 실시간 에이전트가 동작하는 경우 등입니다. 장기 키는 클라이언트에 절대 전달할 수 없습니다. 해결책은 유출되어도 위험이 적은 단기 일회용 토큰을 클라이언트에 발급하는 것입니다.

서버가 장기 키를 보관하고, 자체 세션 로직으로 사용자를 인증 및 권한 부여한 뒤, 단기 토큰을 발급해 클라이언트에 전달합니다. 토큰은 빠르게 만료되고, 발급된 작업에만 권한이 제한되어 있어 유출되어도 가치가 거의 없고 곧 무의미해집니다. 지원되는 엔드포인트와 요청 형식은 일회용 토큰 레퍼런스를 참고하세요.

다음은 브로커 엔드포인트의 핵심 로직입니다. 자체 세션 로직으로 사용자를 인증한 뒤, 문서화된 토큰 엔드포인트에서 토큰을 발급합니다. 서버에서 장기 xi-api-key로 요청을 보내고, 클라이언트에는 단기 토큰만 반환됩니다.

// ... express app and route boilerplate
app.post("/api/voice-token", async (req, res) => {
  // 1. Authorize the user with YOUR session/auth system first.
  if (!req.session?.user) return res.status(401).json({ error: "unauthorized" });

  // 2. Mint a short-lived token server-side. The long-lived key travels only
  //    in this server-to-server request, never to the browser.
  const response = await fetch("https://api.elevenlabs.io/v1/tokens", {
    method: "POST",
    headers: {
      "xi-api-key": process.env.ELEVENLABS_API_KEY as string,
      "Content-Type": "application/json",
    },
    body: JSON.stringify({}), // populate per the tokens reference
  });

  // 3. Return only the short-lived token. The API key never leaves the server.
  res.json({ token: await response.json() });
});

이후 브라우저는 해당 토큰으로 연결하며, 장기 키는 페이지에 절대 노출되지 않습니다.

키 권한 최소화(Least Privilege) 적용

최소 권한 원칙은 각 키가 반드시 필요한 권한만 갖도록 하는 것입니다. ElevenAPI는 키가 할 수 있는 작업을 제한하는 여러 권한 기반 제약을 제공합니다.

모든 권한을 가진 단일 키는 유출 시 피해 범위가 가장 크고, 기본값으로 사용하기 쉽습니다. 더 나은 방법은 어떤 키든 언젠가 유출될 수 있다고 가정하고, 유출되더라도 해당 작업에 필요한 범위만 허용하는 것입니다.

먼저 스코프 제한부터 시작하세요. 키가 호출할 수 있는 API 엔드포인트를 제한합니다. 전사에만 사용하는 키는 텍스트 음성 변환 권한이 필요하지 않으며, 음악 기능용 키는 보이스 관리에 접근할 필요가 없습니다.

다음은 크레딧 한도입니다. 키별로 맞춤 크레딧 한도를 설정하면 유출 시 재정적 피해를 제한하고, 코드 내 무한 루프도 방지할 수 있습니다.

IP 화이트리스트로 더 강력하게 제한할 수 있습니다. 특정 IP 주소나 CIDR 범위로 키 사용을 제한할 수 있으며, 허용되지 않은 IP에서의 요청은 403으로 거부됩니다. 이 기능은 현재 프리뷰 중인 엔터프라이즈 기능으로, 계정 매니저를 통해 이용할 수 있습니다.

마지막으로, 개발, 스테이징, 운영 환경에서 키를 공유하지 마세요. 환경별로 별도의 키를 발급하고, 각각의 스코프와 한도를 설정하세요. 환경별 키를 사용하면 개발자 노트북에서 유출된 키가 운영 크레딧에 영향을 주지 않고, 한 환경만 교체해도 다른 환경에는 영향이 없으며, 사용 로그도 출처별로 구분되어 해석이 쉬워집니다.

API 키 교체(로테이션)

키 교체(로테이션)는 정기적으로 기존 키를 새 키로 교체하는 것을 의미합니다. 유출이나 노출이 의심될 때도 즉시 교체해야 합니다.

정기적으로 교체하면 유출을 눈치채지 못한 기간 동안 악용될 수 있는 시간을 줄일 수 있습니다. 코드를 미리 교체에 맞게 설계해야만 교체가 수월하니, 미리 준비하세요.

핵심 방법은 키를 겹쳐서 운영하는 것입니다. 이렇게 하면 무중단 전환이 가능합니다:

새 API 키 생성:기존 키와 동일한 스코프, 한도, IP 제한으로 새 키를 추가 발급합니다. 두 키 모두 유효합니다.
키 업데이트:시크릿 매니저의 값을 새 키로 업데이트하고, 인스턴스가 이를 반영하도록 합니다(재시작, 재읽기, 시크릿 매니저 새로고침 등 환경에 따라 다름).
트래픽 확인:새 키로 트래픽이 정상적으로 흐르는지 확인하고, 기존 키의 사용이 멈췄는지 모니터링합니다.
키 접근 제거: 일정 시간 동안 트래픽이 없으면 기존 키를 폐기하세요.

두 키가 겹치는 동안에는 자격 증명 부족으로 요청이 실패하는 순간이 없습니다. 겹치는 기간에는 잘못 구성된 인스턴스가 기존 키를 계속 사용하므로, 이를 미리 찾아낼 수 있다는 추가 이점도 있습니다.

겹치는 기간이 문제되지 않으려면, 코드 구조를 교체가 설정 변경만으로 가능하도록 설계하세요. 한 곳에서 키를 읽고, 새로고침이 가능한 시점에 읽으며, 어떤 시크릿이 활성화될지 단일 스위치로 결정하세요.

// Rotation is driven by configuration, not code edits. The secret manager (or
// the deploy that injects env vars) is the single point of change.
// ELEVENLABS_KEY_ACTIVE selects which slot is live, enabling overlap.
let client: ElevenLabsClient | undefined;

function activeKey(): string {
  const slot = process.env.ELEVENLABS_KEY_ACTIVE ?? "primary";
  const name = slot === "primary" ? "ELEVENLABS_API_KEY_PRIMARY" : "ELEVENLABS_API_KEY_SECONDARY";
  return process.env[name] as string;
}

function getClient(): ElevenLabsClient {
  return (client ??= new ElevenLabsClient({ apiKey: activeKey() }));
}

// Call after a secret refresh to pick up the rotated key without a deploy.
function resetClient(): void {
  client = undefined;
}

겹치는 동안에는 PRIMARY와 SECONDARY 모두 값을 넣고, ELEVENLABS_KEY_ACTIVE만 전환하면 됩니다. 애플리케이션 코드는 변경하지 않습니다.

주기적으로는 백엔드 키는 90일마다 교체하는 것이 기본값으로 적당하며, 가치가 높거나 널리 사용되는 키는 더 자주, 노출 시에는 즉시 교체하세요. 프로비저닝, 교체, 검증, 폐기를 자동화하면 교체가 이벤트가 아니라 백그라운드 프로세스가 됩니다.

워크스페이스 접근 제어 및 권한

스코프와 교체로 개별 키를 보호하는 한편, 워크스페이스 제어는 누가 키를 발급할 수 있는지 관리합니다. 조직 정책을 정의하고 준수할 수 있는 공간을 제공하며, 이는 앞으로의 모든 키 관리 실천에 영향을 줍니다.

먼저 사람과 머신 자격 증명을 분리하세요. 사람은 각자 계정과 권한으로 대시보드에 로그인하고, 서비스는 키 또는 서비스 계정으로 인증합니다. 개인 접근 권한으로 발급된 키로 서비스를 운영하거나, 여러 사람이 하나의 머신 키를 공유하지 마세요. 그 이유는 오프보딩 때문입니다. 사람이 퇴사하거나 서비스가 종료될 때, 정확한 자격 증명만 폐기하고 다른 영향이 없도록 해야 합니다.

서비스 계정도 같은 목적입니다. 머신 워크로드에 사람과 무관한 고유 신원을 부여하고, 자체 스코프를 설정해 감사 로그의 신뢰성을 높입니다.

그 다음에는 개별 인원이 아니라 역할별로 접근 권한을 매핑하세요. 워크스페이스는 그룹 및 멤버 권한을 지원합니다. 각 그룹이 필요한 최소 권한만 부여하고, 멤버십을 주기적으로 검토하며, 어떤 자격 증명(사람이든 머신이든)도 역할 이상 권한을 갖지 않도록 하세요.

감사 및 탐지

앞 단계에서는 유출 피해를 줄이는 방법을 다뤘습니다. 이번 단계에서는 유출이 발생했는지 탐지하는 방법을 설명합니다. 좋은 탐지는 세 가지 습관에서 시작합니다.

첫째, 어떤 키(식별자 기준, 비밀값 아님)가 어떤 종류의 요청을 어디서, 얼마나 처리했는지 기록하세요. xi-api-key 헤더는 모든 로그와 트레이스에서 반드시 제거해야 합니다. HTTP 미들웨어와 APM 설정에 마스킹 규칙을 추가하면 키가 로그 저장소에 남는 가장 흔한 경로를 차단할 수 있습니다.

둘째, 크레딧 사용량을 모니터링해 이상 징후를 감지하세요. 키별 크레딧 소모량을 추적하고, 기준치에서 벗어난 급증, 비정상 시간대의 생성, 원래 비활성이어야 할 키의 갑작스러운 활성화 등에 알림을 설정하세요.

셋째, 동시성 헤더를 모니터링하세요. 모든 응답에 현재 및 최대 동시 요청 수가 current-concurrent-requests와 maximum-concurrent-requests 헤더로 반환됩니다. 이를 통해 여유 용량을 파악할 수 있고, 본인이 시작하지 않은 최대치 고정 상태는 남용 신호입니다. 원시 HTTP 엔드포인트를 사용하면 응답 헤더를 직접 확인할 수 있습니다:

const resp = await fetch("https://api.elevenlabs.io/v1/text-to-speech/JBFqnCBsd6RMkjVDRZzb", {
  method: "POST",
  headers: {
    "xi-api-key": process.env.ELEVENLABS_API_KEY as string,
    "Content-Type": "application/json",
  },
  body: JSON.stringify({ text: "Monitoring headroom.", model_id: "eleven_flash_v2_5" }),
});

const current = resp.headers.get("current-concurrent-requests");
const maximum = resp.headers.get("maximum-concurrent-requests");
// Emit these to your metrics pipeline; alert on sustained saturation you did not cause.

이런 상황에서는 반드시 알림이 울려야 합니다. 아무도 보지 않는 대시보드는 탐지 기능이 아닙니다. 크레딧 급증, 동시성 포화 신호를 장애 알림과 동일한 경로로 연결하고, 명확한 담당자를 지정하세요.

사고 대응

아무리 보안과 모니터링을 잘해도, 언젠가는 키가 유출될 수 있다고 가정해야 합니다. 피해를 최소화하는 단계별 대응 방안을 미리 마련하면, 신속하게 대처하고 영향을 줄일 수 있습니다.

API 키 유출 시 사전 정의된 사고 대응 절차는 다음과 같습니다:

유출된 키 즉시 폐기: 전체 범위를 파악할 때까지 기다리지 마세요. 폐기된 키는 더 이상 생성에 사용할 수 없으며, 언제든 대체 키를 발급할 수 있으므로 복구도 가능합니다. 이것이 가장 중요한 조치입니다.
새 키로 교체: 유출된 키가 운영 트래픽에 사용 중이었다면, 겹치기 절차를 역순으로 진행하세요. 새 키를 발급하고, 트래픽을 전환한 뒤, 유출된 키가 완전히 중단됐는지 확인합니다. 코드는 설정에서 키를 읽으므로, 단순히 설정만 바꾸면 됩니다.
사용 로그로 피해 범위 평가: 유출이 차단된 후에는 피해를 정량화하세요. 키가 유효하고 노출된 기간, 해당 기간 동안 소모된 크레딧, 정상 트래픽인지 남용인지, 어떤 엔드포인트에 접근했는지 확인합니다.
의존 시크릿도 교체:키는 단독으로 유출되는 경우가 드뭅니다. 저장소, 로그, CI 파이프라인에서 노출됐다면, 같은 위치의 다른 시크릿도 함께 교체하세요.
유출 경로 차단: 키가 어떻게 유출됐는지 찾아서 반드시 수정하세요. 그렇지 않으면 반복됩니다. .gitignore에 파일 추가 및 기록 삭제, 로거에 헤더 마스킹 추가, 빌드 산출물에서 시크릿 분리, CI 시스템 접근 제한 등을 적용하세요.
사후 분석 작성:타임라인, 피해 범위, 근본 원인, 추가된 구체적 통제(스코프 제한, IP 화이트리스트, CI 시크릿 스캐너, 교체 주기 단축 등)를 문서화하세요.

이 절차를 따르면 API 유출 사고에 대비한 대응 프로세스를 갖출 수 있습니다.

컴플라이언스 준수: SOC 2, HIPAA, 데이터 보존

인증은 더 넓은 컴플라이언스 평가의 한 요소이며, 여기서 주장할 수 있는 것과 없는 것을 신중히 구분해야 합니다. 아래 내용은 각자의 상황에 맞는 판단이 아니라, 참고용 사실로만 활용하세요.

ElevenLabs는 SOC 2 인증을 받았습니다. 지원되는 요금제와 사용 사례에 따라 HIPAA 준수 및 무보존(Zero-retention) 모드도 제공됩니다. 무보존 모드는 요청 내용이 처리 후 저장되지 않으므로, 입력값이나 생성 오디오가 민감할 때 중요합니다.

특정 모드 적용 여부는 요금제, 설정, 처리하는 데이터의 특성에 따라 달라집니다. 실제로 사용하기 전에 반드시 자격 요건과 정확한 조건을 확인하고, 위에서 설명한 접근 제어와 함께 적용하세요. 컴플라이언스 인증은 플랫폼이 데이터를 어떻게 처리하는지에 관한 것이고, 키 관리는 누가 내 이름으로 동작할 수 있는지에 관한 것으로, 이 부분은 직접 관리해야 합니다.

이상적인 API 키 보안이란

서버 전용 키는 가장 큰 유출 위험을 제거합니다. 일회용 토큰은 실제로 API 접근이 필요한 클라이언트까지 보안을 확장합니다. 스코프 및 환경별 분리는 유출 시 피해를 제한합니다. 설정에 내장된 교체는 복구를 일상화합니다. 워크스페이스 제어는 사람과 머신 신원을 분리합니다. 감사는 남용을 요금서의 놀라움이 아닌 알림으로 바꿉니다. 문서화된 대응 절차는 사고를 체계적인 프로세스로 전환합니다.

이는 모든 고가치 비밀을 보호하는 기본 위생과 같으며, 특히 돈을 쓰고 대규모로 오디오를 생성할 수 있는 키에 적용됩니다.

실제 요청 형식에 맞춰 적용할 준비가 되었다면, 인증 레퍼런스와 일회용 토큰 레퍼런스에서 지원되는 엔드포인트 목록을 확인하세요. 모니터링해야 할 동시성 모델을 이해하려면 모델 레퍼런스와 API 빠른 시작 가이드를 참고하면 됩니다.

ElevenAPI 연동 보안 강화하기

강력한 API 인증은 다양한 보안 실천의 기초가 됩니다. 서버 전용 키 사용, 클라이언트용 일회용 토큰 배포, 최소 권한 스코프, 키 관리에 교체 내장 등은 대규모 위험을 예방하는 데 도움이 됩니다.

지원되는 엔드포인트와 정확한 헤더 형식 등 자세한 내용은 ElevenAPI 문서를 참고하세요. 바로 시작하고 싶다면 ElevenLabs에서 API 키 요청을 통해 오늘 바로 빌드를 시작할 수 있습니다.