Realmente nao é possível você esconder qualquer chave no React, mesmo colocando um .env no gitignore, isso nao seria seguro, pois as variáveis de ambiente são incorporadas na compilação e com isso elas são acessíveis publicamente.

Uma alternativa seria você ter um back-and onde você salvaria essas chaves e então você enviaria uma solicitação para sua API, sua API iria fazer a chamada real com a sua chave e você teria o retorno dos dados, onde você poderia fazer sua api mandar esses dados retornados para seu Front-end.