Vai al contenuto principale
Quando crei o leggi una chiave API attraverso la console o l’API REST, il gateway restituisce un token object — il record JSON che contiene l’identità di una chiave, i suoi limiti e i due collegamenti a policy che governano il suo traffico. Questa pagina è il riferimento campo per campo di quell’oggetto: cosa significa ciascun campo, il suo tipo, e i valori sentinella (0, -1) che portano un significato speciale. Per il perché dietro questi campi — il modello di minima agenzia — parti da Panoramica delle chiavi con scope. Questa pagina è la tabella di lookup che tieni aperta mentre scripti la creazione delle chiavi.

1. Il riferimento del token object a colpo d’occhio

Una chiave appena creata per un agent di summarization schedulato appare così: 
{
  "id": 4812,
  "name": "support-summarizer-prod",
  "status": 1,
  "key": "sk-orca-a1b2****yz90",
  "created_time": 1733616000,
  "accessed_time": 1733702400,
  "expired_time": -1,
  "unlimited_quota": false,
  "remain_quota": 500000,
  "used_quota": 12340,
  "model_limits_enabled": true,
  "model_limits": "openai/gpt-4o-mini",
  "credit_limit_usd": 25,
  "allow_ips": "203.0.113.7",
  "environment": "prod",
  "guardrail_id": 17,
  "firewall_policy_id": 9,
  "is_firewall_gateway": false,
  "group": "default"
}
Il campo key è mascherato a ogni lettura — vedi il prefisso di brand e gli ultimi quattro caratteri, mai il segreto completo. Il plaintext è mostrato una volta, alla creazione. Vedi Mascheramento delle chiavi.

2. Campi di identità e ciclo di vita

Questi descrivono quale chiave è questa e dove si trova nel suo ciclo di vita.
L’identificatore numerico stabile della chiave. Usalo per indirizzare la chiave nelle chiamate di update e delete. Di sola lettura.
Un’etichetta umana per la chiave, mostrata nella console e nei log. Nomina le chiavi in base all’agent che le possiede — una chiave, un agent.
Stato abilitato / disabilitato. 1 significa attiva; una chiave disabilitata viene rifiutata in autenticazione senza essere eliminata, così puoi mettere in pausa una chiave e riabilitarla.
Il segreto bearer, restituito mascherato (sk-orca-…****…). Il valore completo è mostrato solo una volta, alla creazione. Trattalo come una password.
Timestamp Unix (secondi) per quando la chiave è stata coniata e quando ha servito l’ultima richiesta. accessed_time è il tuo segnale per una chiave stale o inutilizzata che vale la pena revocare.
Scadenza assoluta come timestamp Unix. Il sentinella -1 significa che la chiave non scade mai. Imposta un timestamp reale per far auto-scadere una chiave — il default giusto per esecuzioni di CI e agent effimeri. Vedi Chiavi a scadenza.

3. Campi di spesa e quota

Questi vincolano quanto una chiave può consumare prima di smettere di funzionare.
CampoTipoSignificato
credit_limit_usdnumberCap di spesa complessiva in USD. 0 = illimitata.
unlimited_quotabooleanQuando è true, la chiave non è messa a metro rispetto a un saldo di quota.
remain_quotanumberQuota rimasta sulla chiave.
used_quotanumberQuota consumata finora.
Una chiave con credit_limit_usd: 0 e unlimited_quota: true e expired_time: -1 non ha tetto di spesa e non scade mai — il peggior raggio d’esplosione se trapela. Vedi illimitate vs limitate per capire quando una chiave senza limiti è giustificata.

4. Campi di reach e scope

Questi limitano cosa la chiave può raggiungere — quali modelli, da quali indirizzi.
model_limits è l’elenco dei modelli che la chiave può chiamare; model_limits_enabled è l’interruttore on/off. Con il limite abilitato, una chiamata a qualsiasi modello fuori dall’elenco viene rifiutata prima di lasciare il gateway — l’agent non può passare a un modello più costoso o più capace. Vedi Limiti sui modelli.
Un’allow-list di IP / CIDR, una voce per riga. Una richiesta che presenta la chiave da qualunque indirizzo non elencato viene rifiutata al livello di autenticazione; un valore vuoto significa che tutti gli indirizzi sono consentiti. Vedi IP allow-list.
Un’etichetta di deployment a forma libera (prod, staging, dev, o quel che scegli) per organizzare le chiavi e filtrare i log. Puramente organizzativa — non cambia l’applicazione. Vedi Environment.
Il gruppo di routing attraverso cui la chiave risolve i modelli. Lascialo al default del workspace a meno che non ti sia stato assegnato un gruppo specifico.

5. Campi di collegamento a policy

I due campi più potenti su una chiave. Ciascuno collega la chiave a una policy con scope a livello di workspace che governa il suo traffico — cambia la policy e ogni chiave ad essa collegata raccoglie la modifica alla richiesta successiva, senza redeploy.
CampoTipoCollega la chiave a
guardrail_idnumberUn guardrail sui contenuti che filtra il testo di richiesta e risposta.
firewall_policy_idnumberUna policy del firewall che governa le chiamate a tool che la chiave emette.
is_firewall_gatewaybooleanMarca la chiave come token con scope gateway per le rotte del Firewall MCP / evaluate (non per l’inferenza).
Il sentinella per entrambi i collegamenti è 0 (non collegato). Ma i due piani risolvono un collegamento disabilitato in modo diverso:
  • Un guardrail_id disabilitato è l’interruttore di spegnimento — la chiave non ottiene alcun guardrail, senza fallback al default del workspace.
  • Un firewall_policy_id disabilitato fa fallback al default del workspace della policy del firewall.
L’ordine completo di risoluzione vive su Collegare le policy e Scope e chiavi.
is_firewall_gateway: true conia una chiave con scope gateway solo per le rotte /api/v1/firewall/* — non metterlo mai su una chiave di inferenza. Abilitare il flag, e leggere il plaintext di una chiave gateway, richiedono entrambi Admin+.

6. Impostare questi campi

Ogni campo qui sopra è configurato nell’editor delle chiavi della console (/console/token) — non attraverso una chiave di relay. Creare o modificare una chiave richiede il ruolo Developer o superiore; il flag is_firewall_gateway richiede Admin+.
Il token object è la superficie di configurazione. Il plaintext della chiave (sk-orca-…) è ciò che il tuo agent presenta sulle chiamate di relay /v1/*. Configura la chiave nella console; l’agent vede sempre e solo il segreto.
Una chiave a minima agenzia concreta — impostata nell’editor, riletta come l’oggetto qui sopra — limita un modello, un range di IP sorgente, un tetto settimanale in USD, una scadenza, e un guardrail più una policy del firewall. Se l’agent che la possiede viene dirottato via prompt injection, il raggio d’esplosione si ferma esattamente a quei limiti.

7. Riferimenti correlati

Panoramica chiavi con scope

Il modello di minima agenzia e l’hub per ogni campo di una chiave.

Collegare le policy

Come guardrail_id e firewall_policy_id si risolvono in una policy attiva.

Quota, cap e scadenza

credit_limit_usd, expired_time, e i campi di quota in profondità.

Checklist di minima agenzia

Fai passare ogni chiave attraverso lo stesso giro di hardening.
Nuovo al modello? Leggi Scope, chiavi, policy e workspace per come il token object si inserisce nella gerarchia workspace → policy → chiave.