Keychain astrae il backend di firma, ma la gestione di un signer in produzione rimane una tua responsabilità. Queste pratiche si applicano a tutti i backend; consulta Scegliere un backend per la selezione.
Separare i signer hot e cold
Utilizza un signer operativo a basso saldo ("hot") per transazioni frequenti e automatizzate, e un signer separato ad alto valore ("cold") per i movimenti del treasury. Proteggi il signer cold con custodia MPC o un cloud HSM e richiedi policy di approvazione prima della firma. Poiché l'interfaccia è identica, ogni ruolo può utilizzare un backend diverso senza modificare i punti di chiamata.
Ruotare le chiavi in modo consapevole
Su Solana la chiave di firma è l'indirizzo dell'account, quindi ruotare una chiave produce un nuovo indirizzo. Pianifica la rotazione come una migrazione: crea una nuova chiave, riassegna le autorità pertinenti (o sposta i fondi) al nuovo indirizzo, quindi dismetti quella vecchia. Usa chiavi distinte per ogni ambiente in modo che le chiavi devnet non vengano mai riutilizzate su mainnet.
Concedere accesso con privilegi minimi
Limita le credenziali di ciascun backend al minimo necessario per firmare. Per
AWS KMS, corrisponde a kms:Sign e kms:DescribeKey sulla chiave specifica;
preferisci i ruoli IAM alle credenziali statiche. Applica lo stesso principio
alle policy di Vault e alle chiavi API per i wallet gestiti.
Pianificare la disponibilità
I backend remoti dipendono da un servizio di rete. Chiama isAvailable() prima
di affidarti a un signer, applica tentativi con backoff in caso di errori
transitori e definisci un percorso di fallback per i disservizi. Keychain impone
HTTPS per i backend remoti e applica un timeout predefinito per le richieste.
Proteggere i segreti e il trasporto
- Tutti i backend remoti comunicano tramite HTTPS; gli endpoint non HTTPS vengono rifiutati.
- Fornisci chiavi API, token e credenziali da un gestore di segreti o da variabili d'ambiente — non codificarli mai nel codice sorgente né eseguirne il commit nel controllo versione.
- Keychain sanifica le risposte di errore per evitare che i segreti vengano esposti nei log; mantieni anche i tuoi log privi di credenziali grezze e materiale crittografico.
Monitorare e verificare la firma
Monitora il tasso di successo della firma, la latenza e il numero di errori, e configura avvisi per i picchi — consulta le metriche nella sezione Disponibilità in Produzione. Abilita i log di audit lato provider (KMS, Vault o custodian) e riconciliali con le transazioni inviate dalla tua applicazione.
Is this page helpful?