1. Warum gescopte API-Keys für LLM-Agenten
Ein allgemeiner API-Key ist eine Bearer-Credential: Wer ihn hält, kann jedes Modell aufrufen, von überall, für jeden Betrag, ohne angehängte Policy. Das ist das Gegenteil von dem, was ein autonomer Agent braucht. Auf OrcaRouter ist ein API-Key nicht nur eine Credential — er ist eine Scope-Deklaration. Jeder Key trägt seine eigenen Beschränkungen (welche Modelle, welche IPs, wie viel Ausgaben, wann er abläuft) und verweist auf das Guardrail und die Firewall-Policy, die seinen Traffic steuern. Das Bearbeiten der Policy, auf die ein Key verweist, wirkt sich beim nächsten Request aus, ohne Redeploy und ohne Änderung am Agenten-Code. Das Prinzip lautet Least Agency: Geben Sie jedem Agenten die engste Identität, die ihm noch erlaubt, seine Aufgabe zu erfüllen, und nichts mehr. Ein Key, ein Agent, ein Zweck.2. Was ein gescopter Key trägt
Jeder Key ist ein Bündel aus Limits plus zwei Policy-Anhängen. Jedes Feld ist auf seiner eigenen Seite dokumentiert — die Spoke-Links unten führen in die Tiefe.Modell-Limits
model_limits beschränkt einen Key auf eine benannte Liste von Modellen.
Ein Aufruf außerhalb der Liste wird abgelehnt, bevor er das Gateway
verlässt — der Agent kann nicht auf ein teureres oder leistungsfähigeres
Modell umschalten.IP-Allowlist
allow_ips pinnt einen Key auf bestimmte Quelladressen. Ein geleakter
Key, der von irgendwo anders präsentiert wird, wird auf der Auth-Ebene
abgelehnt.Kontingent, Cap & Ablauf
credit_limit_usd begrenzt die Lebenszeit-Ausgaben (0 = unbegrenzt);
expired_time setzt einen absoluten Ablauf (-1 = nie).Umgebungen
environment ist ein freies Label (prod, staging, dev) zum
Organisieren von Keys und Filtern von Logs.Policies binden
guardrail_id und firewall_policy_id hängen eine Content-Policy und
eine Tool-Call-Policy an den Key. Kein Anhang fällt auf den
Workspace-Default zurück.Das Token-Objekt
Die vollständige Feld-für-Feld-Referenz für einen Key, inklusive
remain_quota / used_quota und is_firewall_gateway.Bounded vs. unbounded. Ein Key mit
credit_limit_usd: 0 und
expired_time: -1 hat kein Ausgaben-Cap und läuft nie ab — bequem, aber der
schlimmste Blast-Radius, wenn er leakt. Siehe
unbegrenzt vs. begrenzt dafür, wann
welches angemessen ist.3. Ein konkreter Least-Agency-Key
Ein geplanter Agent, der Support-Tickets mit einem günstigen Modell zusammenfasst und von einem Host aus läuft, braucht fast keine Agency. Ein gut gescopter Key dafür:| Feld | Wert | Warum |
|---|---|---|
model_limits | ein Summarization-Modell | kann nicht auf ein Frontier-Modell eskalieren |
allow_ips | das Egress-CIDR des Schedulers | ein geleakter Key ist andernorts nutzlos |
credit_limit_usd | eine Wochen-Obergrenze | eine außer Kontrolle geratene Schleife kann das Guthaben nicht leerlaufen |
expired_time | Ende des Deployments | läuft automatisch ab, kann nicht verweilen |
guardrail_id | ein PII-maskierendes Guardrail | der Request-Text wird gescreent |
firewall_policy_id | erlaubt nur die Tools, die er braucht | keine überraschenden Tool-Calls |
4. Die zwei Policy-Ebenen binden
Die zwei Anhänge sind die mächtigsten Felder auf einem Key, und sie lösen sich unterschiedlich auf, wenn eine angehängte Policy deaktiviert ist:guardrail_id — Content-Screening
guardrail_id — Content-Screening
Screent den Request- und Response-Text (PII, Secrets,
Prompt-Injection) gegen ein workspace-bezogenes, geordnetes
Guardrail. Auflösung: ein expliziter,
aktivierter
guardrail_id gilt; ein deaktivierter ist der
Aus-Schalter — er fällt nicht auf den Workspace-Default zurück. Ohne
Anhang gilt das Default-Guardrail des Workspaces, sonst nichts.firewall_policy_id — Tool-Call-Durchsetzung
firewall_policy_id — Tool-Call-Durchsetzung
Steuert die Aktionen, die ein Agent vornimmt — Tool-Calls,
MCP-Dispatches, Egress — gegen eine workspace-bezogene
Firewall-Policy. Die Auflösung unterscheidet sich
von Guardrails: eine deaktivierte angehängte Firewall-Policy fällt
auf den Workspace-Default zurück, sie schaltet die Durchsetzung nicht
aus.
is_firewall_gateway — eine andere Art von Key
is_firewall_gateway — eine andere Art von Key
Ein gateway-scoped Token wird nur für die Firewall-MCP- und
Evaluate-Hook-Routen (
/api/v1/firewall/*) geprägt, nie für Inferenz. Ein
regulärer Key erhält dort 403. Dieses Flag zu aktivieren und das
Plaintext des Gateway-Keys zu lesen, erfordert Admin+.5. Der Keys-Bereich
Keys verwalten
Keys in der Konsole erstellen, bearbeiten und widerrufen.
Rotation
Einen Key ohne Ausfallzeit rollen.
Ablaufende Keys
Kurzlebige Keys für ephemere Agenten und CI-Läufe.
Key-Maskierung
Keys werden bei der Anzeige maskiert; Plaintext wird einmal bei der
Erstellung gezeigt.
Geleakter Key
Was zu tun ist, sobald ein Key exponiert ist.
Least-Agency-Checkliste
Jeden Key durch denselben Härtungsdurchlauf schicken.
6. Wo Keys im Control-Stack sitzen
Ein gescopter Key ist die erste Verteidigungsebene — er entscheidet, wer der Aufrufer ist und was er erreichen darf, bevor irgendeine Policy läuft. Guardrails und die Firewall sind die nächsten Ebenen.KI-Agenten absichern
Warum die Agenten-Identität das Fundament des Control-Stacks ist.
Guardrails vs. Firewall
Die zwei Policy-Ebenen, an die ein Key binden kann.
Übermäßige Agency
Die Bedrohung, die Least-Agency-Keys eingrenzen sollen.