メインコンテンツへスキップ
画面から読み取れる資格情報は、漏らせる資格情報です。新しいキーをコピーしたら、その平文を 再び必要とすることはほとんどありません — 認識する必要があるだけです:これはどのキーか、 どの環境か、失敗しているエージェントが使っているものか。OrcaRouter のコンソールは、機能する シークレットを再印刷することなくそれに答えます:すべてのキーは、それを識別するのにちょうど 十分な文字を保ち、残りを隠すマスクされた形式でレンダリングされます。 このページは、マスクされた形式がどう見えるか、平文がいつ表示されいつされないか、そして あなた自身のログとツールで安全に API キーをマスクする方法を扱います。

1. なぜ表示時に API キー値をマスクするのか

完全なキーはベアラー資格情報です:それを読む者は誰でも、そのキーの制限まで、あなたとして ゲートウェイを呼べます。コンソールビューは、スクリーンショット、画面共有、サポートチケット、 バグレポートに絶えずコピーされます — なのでキーのリストにライブシークレットを表示することは、 それらのひとつひとつを資格情報漏洩に変えてしまうでしょう。 マスキングは、通常混同される 2 つのニーズを分離することでこれを解決します:
  • 識別 — これはどのキーか? 一目で読める安定したマスクされたフィンガープリントが 答えます。
  • 使用シークレットは何か? 作成時に正確に一度、そしてその後は意図的な ロールゲートされた再表示の背後で答えられます。
コンソールは最初のニーズをあらゆる場所で満たし、2 番目をゲートするため、デフォルトの表面 — あなたが一日中眺めるキーリスト — は決して使用可能なシークレットを運びません。
マスクされたキーは、機能する資格情報ではありません。リクエストを認証できません。作成時に コピーした完全な平文(sk-orca-…)、あるいはゲートされたエンドポイントを通じて再表示された ものだけが、ゲートウェイを呼べます。

2. マスクされた形式がどう見えるか

コンソールはキーのブランドプレフィックス、次に固定長のアスタリスク列、次に最後の 4 文字を 表示します — 2 つのキーを区別するのに十分で、どちらかを再構築するには不十分です。
あなたが作成したものコンソールが表示するもの
sk-orca-9f3aK2…long…7Qm4sk-orca-9f3****7Qm4
最初のセグメントは sk-orca- プレフィックスと数文字の先頭文字を保ちます;最後の 4 文字は、 ログ行やエラーを相互参照するときに認識できる末尾です。その間のすべては固定マスクに 折りたたまれます — アスタリスク列は定数なので、その幅はキーの真の長さを決して明かしません。
特定のキーを素早く見つける必要があるときは、マスクされた末尾をキーの environment ラベルと 名前とペアにしてください — 4 文字の末尾に prod / staging タグを加えれば、平文を一切明かす ことなくリストから正しいものを選ぶのにほぼ常に十分です。

3. 平文が表示されるとき — そしてされないとき

完全なキーをコピーできる瞬間はちょうど 1 つあり、それを再び取得する単一のゲートされたパスが あります。
キーを発行すると、コンソールは完全な sk-orca-… 平文を一度表示します。そのときに シークレットマネージャーにコピーしてください。そのキーのそれ以降のあらゆるビュー — リスト、 詳細パネル、検索結果 — はマスクされた形式だけを表示します。
通常のキーの平文をオンデマンドで再表示できますが、それは Developer+ ロールの背後の 意図的なアクションです — デフォルトのリストが決して露出するものではありません。ゲートウェイ スコープのキー(is_firewall_gateway)の再表示には Admin(または Owner)ロールが 必要です、なぜならそのトークンは登録された MCP サーバーの資格情報を読めるからです。
キーのリスト表示、キーの詳細を開く、検索、そしてトークンオブジェクトのすべての読み取りは、 マスクされた形式を返します。平文はリストや検索レスポンスに決して含まれません。
再表示はゲートされ、ゲートウェイスコープのキーは再び読むのに Admin が必要なので、作成時の コピーをあなたの唯一の信頼できるキャプチャとして扱ってください。すぐにシークレットマネージャーに 保存してください。通常のキーの平文を失った場合は再表示できます(Developer+);表示できず回復も できない場合は、もはや読めないキーを回避策で扱うのではなく、新しいキーに ローテーションしてください。

4. ひとつの具体例:漏洩キーを識別する

アラートが発火したとしましょう — キーが予期しない IP から呼び出しを行っていて — ログ行は マスクされた末尾 …7Qm4 を運びます。行動するのに平文は必要ありません:
  1. コンソールの Keys リスト(/console/token)を開きます。すべての行が、そのマスクされた フィンガープリント — sk-orca-9f3****7Qm4 — とその environment ラベルを表示します。
  2. …7Qm4 の末尾(と prod タグ)を問題の行に照合します。マスクされた形式は、ここで必要な 識別子そのものです — リスト、アラート、あるいはあなたのそのスクリーンショットに、シークレットは 一切露出されません。
  3. そのキーを無効化して一時停止するか、削除して完全に取り消します — どちらも平文を 決して印刷しないマスク安全なアクションです。キーを管理漏洩キー対応を参照。
トリアージ全体がマスクされたフィンガープリント上で実行されます。平文はそれが属する シークレットマネージャーに留まります。

5. あなた自身のログとツールでのマスキング

ゲートウェイは自身の表面をマスクします;あなたの側はあなたが制御します。同じ原則が、キーが あなたのスタックのどこに着地し得るかにも適用されます:
  • Authorization ヘッダーや生の sk-orca-… 値を決してログしない。 どのキーが呼び出しを 行ったかを記録する必要がある場合、コンソールが使うのと同じ形 — プレフィックスと最後の 4 文字 — をログし、完全なシークレットではなく。
  • 平文はシークレットマネージャーにのみ保存し、ソース管理、CI ログ、あるいはリポジトリに チェックインされた設定ファイルには決して保存しないでください。キーがコンソールでマスクされる のは、まさにあなた自身のシステムがライブシークレットが存在する唯一の場所であるようにするため です。
  • キーを狭くスコープして、漏洩した資格情報でも被害範囲が境界づけられるようにしてください — 1 つのモデル、1 つの IP レンジ、1 つの支出上限。 最小権限チェックリストを参照。
マスキングは表示の露出を減らします;漏洩したキーの威力を減らすわけではありません。ログ内の マスクされたフィンガープリントは安全ですが、シークレットマネージャー内のライブキーは依然として 完全に認証します — だからこそ、狭いスコープと速いローテーションが マスキングと同じくらい重要なのです。

6. これがキー衛生の残りにどうフィットするか

マスキングは、資格情報のための詳細な防御姿勢の 1 つの層です:

キーを管理

キーを作成、無効化、取り消し — リスト内のすべてのマスクされた行の背後にあるライフサイクル。

トークンオブジェクト

漏洩キーの被害範囲を境界づける制限を含む、キーが運ぶすべてのフィールド。

キーローテーション

古いキーを回復または信頼できないときの、新しいキーへのゼロダウンタイムの引き継ぎ。

漏洩キー対応

資格情報が露出した疑いがある瞬間に何をすべきか。
キー、ポリシー、ワークスペースがどのように入れ子になって各エージェントに最も狭い アイデンティティを与えるかの全体像については、 スコープとキーを参照してください。 ルールはシンプルです:コンソールはキーを認識するのに十分なものを表示し、決して漏らすのに十分な ものは表示しません。平文をシークレットマネージャーに保ち、それ以外のあらゆる場所でマスクされた フィンガープリントに頼り、キーのアイデンティティが疑わしい瞬間にローテーションしてください。