Saltar al contenido principal
Una clave es la identidad que lleva cada solicitud. A lo largo de su vida la creas, quizá la pausas durante un incidente, y eventualmente la retiras. Esta página recorre todo el ciclo de vida en la consola — la forma más rápida de gestionar claves api sin tocar código ni redesplegar nada. Para el conjunto completo de restricciones que lleva una clave (listas de modelos permitidos, listas de IPs permitidas, topes de gasto, adjuntos de política), ver El objeto token y Vincular políticas a una clave. Esta página trata sobre el ciclo de vida: crear → deshabilitar → revocar.
Las tres acciones viven en la pantalla Keys de la consola (/console/token). Crear, editar, deshabilitar o eliminar una clave requiere el rol Developer o superior; cualquier rol (Viewer en adelante) puede leer la lista.

1. Crear una clave

Una nueva clave nace con alcance. En vez de acuñar una credencial amplia y compartirla, da a cada agente o servicio su propia clave con exactamente los límites que necesita — eso es lo que mantiene pequeño el radio de explosión de un agente comprometido (ver Lista de verificación de mínima agencia). En la consola, abre Keys → New key y establece:
Un nombre legible por humanos y una etiqueta environment de forma libre (prod, staging, dev, o lo que quieras) por la que luego puedes filtrar logs. Ver Entornos.
Lista de modelos permitidos, lista de IPs permitidas, un tope de gasto en USD y una expiración — cada uno opcional, cada uno estrechando lo que la clave puede hacer. Ver Límites de modelo, Lista de IPs permitidas y Cuota, tope y expiración.
Una guardrail (guardrail_id) y una política de firewall (firewall_policy_id) para gobernar el contenido y las llamadas a herramienta de esta clave. Ver Vincular políticas.
La clave en texto plano (sk-orca-…) se muestra exactamente una vez, al crearla. Cópiala entonces. Después la consola solo muestra siempre una forma enmascarada. Puedes volver a revelar el texto plano de una clave ordinaria más tarde (Developer+), pero el texto plano de una clave con alcance de gateway requiere Admin — así que guárdalo en un lugar seguro la primera vez.
Usa la nueva clave para inferencia exactamente como lo harías con cualquier clave de OrcaRouter: 
curl https://api.orcarouter.ai/v1/chat/completions \
  -H "Authorization: Bearer sk-orca-..." \
  -H "Content-Type: application/json" \
  -d '{"model": "openai/gpt-4o-mini", "messages": [{"role":"user","content":"ping"}]}'
Solo las llamadas de relay /v1/* usan la clave sk-orca-…. Las acciones de consola en esta página se ejecutan sobre tu token de sesión / acceso, no la clave de relay.

2. Deshabilitar una clave (la pausa reversible)

Cuando una clave se comporta mal — un bucle descontrolado, una credencial filtrada que aún estás investigando, un servicio que pones fuera de línea para mantenimiento — no tienes que eliminarla. Deshabilitar apaga el estado de la clave para que cada solicitud que haga sea rechazada, mientras la clave, sus límites, sus adjuntos de política y su historial de uso permanecen intactos. En la lista Keys, cambia el estado de la clave a Disabled. Para volver a habilitarla más tarde, cámbiala de nuevo. Una clave puede estar en uno de estos estados:
EstadoSignificado
EnabledActiva; las solicitudes están autorizadas.
DisabledPausada por ti; las solicitudes se rechazan hasta volver a habilitarla.
ExpiredPasado su expired_time; se alcanza automáticamente.
ExhaustedAlcanzó su cuota / tope de gasto; se alcanza automáticamente.
Deshabilitar es tu botón de pausa de respuesta a incidentes. Si sospechas que una clave está comprometida pero quieres conservar su configuración y logs mientras investigas, deshabilita primero e investiga — luego vuelve a habilitarla o revócala. Ver Respuesta a clave filtrada.
Expired y Exhausted se alcanzan por sí solos — una clave pasada su expiración o por encima de su tope de gasto deja de autorizar sin ninguna acción de tu parte.

3. Revocar una clave (permanente)

Cuando una clave ha terminado — el agente está fuera de servicio, la credencial se confirma filtrada, el proyecto se desplegó — revócala eliminándola. Esto es permanente: la credencial nunca podrá autorizar una solicitud de nuevo, y una clave eliminada no es recuperable. Emite una clave nueva para cualquier reemplazo. En la lista Keys, elige Delete en la clave (Developer+). Para limpiar varias a la vez, selecciónalas y elimínalas en lote.
Deshabilitar es reversible; eliminar no. Si hay alguna posibilidad de que necesites la clave — o su configuración e historial — de nuevo, deshabilítala en su lugar. Solo elimina cuando estés seguro de que la credencial debe dejar de existir. Para una filtración confirmada, eliminar de inmediato corta la credencial para siempre; deshabilitar te da tiempo para investigar primero.

4. Volver a revelar y rotar

El texto plano de una clave se enmascara en todas partes de la consola después de crearla. Un Developer+ puede volver a revelar el texto plano de una clave ordinaria bajo demanda; volver a revelar una clave con alcance de gateway (is_firewall_gateway) requiere Admin. La rotación es el patrón de traspaso seguro: crea la clave de reemplazo, mueve tu tráfico a ella, luego deshabilita (y más tarde elimina) la antigua — para que nunca haya una ventana sin una clave funcional. El paso a paso completo vive en Rotación de claves.

5. Quién puede hacer qué

Cada acción del ciclo de vida está restringida por rol contra tu espacio de trabajo activo:
AcciónRol mínimo
Ver la lista de clavesViewer
Crear / editar / deshabilitar / eliminar una claveDeveloper
Volver a revelar el texto plano de una clave ordinariaDeveloper
Habilitar is_firewall_gateway, o leer el texto plano de una clave de gatewayAdmin
El alcance de espacio de trabajo significa que una clave creada en un espacio de trabajo nunca es visible ni usable desde otro. Para saber cómo anidan claves, políticas y espacios de trabajo, ver Alcance y claves.

6. Próximos pasos

El objeto token

Cada campo que lleva una clave, y qué restringe cada uno.

Vincular políticas a una clave

Adjunta una guardrail y una política de firewall para que el tráfico de la clave esté gobernado.

Rotación de claves

El traspaso sin tiempo de inactividad de una clave antigua a una nueva.

Respuesta a clave filtrada

Qué hacer en el momento en que sospechas que una clave está expuesta.
El ciclo de vida es deliberadamente simple: crea estrecho, deshabilita para pausar, elimina para revocar. Cuanto más estrecha sea cada clave y más rápido puedas pausarla o retirarla, menor será el radio de explosión cuando cualquier agente se vea comprometido.