1. LLM エージェントにスコープ付き API キーが必要な理由
汎用 API キーはベアラー資格情報です:それを持つ者は誰でも、どこからでも、どんな 金額でも、ポリシーをアタッチせずに、任意のモデルを呼び出せます。これは自律エージェント が必要とするものの正反対です。 OrcaRouter では、API キーは単なる資格情報ではありません — それはスコープ宣言です。 各キーは独自の制約(どのモデル、どの IP、いくら支出、いつ失効するか)を持ち、かつ そのトラフィックを統制するガードレールと ファイアウォールポリシーを指し示します。キーが指すポリシーを 編集すると、次のリクエストで反映されます — 再デプロイ不要、エージェントのコード変更不要。 原則は最小権限です:各エージェントに、その仕事を遂行できる最も狭い アイデンティティを与え、それ以上は与えない。ひとつのキー、ひとつのエージェント、 ひとつの目的。2. スコープ付きキーが運ぶもの
すべてのキーは、制限の束に 2 つのポリシーアタッチメントを加えたものです。各フィールドは それぞれ独自のページで文書化されています — 下のスポークリンクが詳細へ案内します。モデル制限
model_limits はキーを名前付きのモデルリストに制限します。リスト外の呼び出しは
ゲートウェイを離れる前に拒否されます — エージェントはより高価あるいはより高性能な
モデルに切り替えられません。IP 許可リスト
allow_ips はキーを特定のソースアドレスに固定します。それ以外のどこからか提示された
漏洩キーは、認証層で拒否されます。クォータ、上限、失効
credit_limit_usd は生涯支出を上限設定します(0 = 無制限);expired_time は
絶対的な失効を設定します(-1 = 失効しない)。環境
environment は、キーを整理しログをフィルタするための自由形式ラベル
(prod、staging、dev)です。ポリシーをバインド
guardrail_id と firewall_policy_id は、コンテンツポリシーとツール呼び出し
ポリシーをキーにアタッチします。アタッチメントがなければワークスペースデフォルトに
フォールバックします。トークンオブジェクト
キーのフィールドごとの完全なリファレンス。
remain_quota / used_quota および
is_firewall_gateway を含みます。境界づけ vs 無境界。
credit_limit_usd: 0 かつ expired_time: -1 のキーは、
支出上限がなく決して失効しません — 便利ですが、漏洩した場合に最悪の被害範囲となります。
それぞれが適切な場面については無制限 vs 境界づけを
参照してください。3. ひとつの具体的な最小権限キー
1 つの安価なモデルでサポートチケットを要約し、1 つのホストから実行されるスケジュール エージェントは、ほとんど権限を必要としません。それに対する適切にスコープされたキー:| フィールド | 値 | 理由 |
|---|---|---|
model_limits | 1 つの要約モデル | フロンティアモデルにエスカレートできない |
allow_ips | スケジューラの egress CIDR | 漏洩キーは他の場所では役に立たない |
credit_limit_usd | 週次の上限 | 暴走ループが残高を枯渇させられない |
expired_time | デプロイの終了 | 自動失効、居座れない |
guardrail_id | PII マスキングガードレール | リクエストテキストがスクリーニングされる |
firewall_policy_id | 必要なツールのみ許可リスト化 | 想定外のツール呼び出しがない |
4. 2 つのポリシープレーンをバインドする
2 つのアタッチメントはキー上で最も強力なフィールドであり、アタッチされたポリシーが 無効化されたときに異なる解決をします:guardrail_id — コンテンツスクリーニング
guardrail_id — コンテンツスクリーニング
リクエストとレスポンスのテキスト(PII、シークレット、プロンプト
インジェクション)を、ワークスペーススコープの順序付き
ガードレールに対してスクリーニングします。解決:明示的で
有効な
guardrail_id が適用されます;無効化されたものはオフスイッチです — それは
ワークスペースデフォルトにフォールバックしません。アタッチメントがなければ、
ワークスペースデフォルトのガードレールが適用され、それもなければ何もしません。firewall_policy_id — ツール呼び出し強制
firewall_policy_id — ツール呼び出し強制
エージェントが取るアクション — ツール呼び出し、MCP ディスパッチ、egress — を、
ワークスペーススコープのファイアウォールポリシーに対して
統制します。解決はガードレールと異なります:無効化されたアタッチ済みファイアウォール
ポリシーはワークスペースデフォルトにフォールバックし、強制をオフにはしません。
is_firewall_gateway — 別種のキー
is_firewall_gateway — 別種のキー
ゲートウェイスコープのトークンは、ファイアウォール MCP と evaluate フックのルート
(
/api/v1/firewall/*)のためにのみ発行され、推論のためには決して発行されません。
通常のキーはそこで 403 を受け取ります。このフラグを有効化すること、そして
ゲートウェイキーの平文を読むことには Admin+ が必要です。5. キーセクション
キーを管理
コンソールでキーを作成、編集、取り消し。
ローテーション
ダウンタイムなしでキーをロールする。
失効するキー
一時的なエージェントと CI 実行のための短命キー。
キーマスキング
キーは表示時にマスクされ、平文は作成時に一度だけ表示されます。
漏洩キー
キーが露出した瞬間に何をすべきか。
最小権限チェックリスト
すべてのキーを同じ強化パスに通す。
6. コントロールスタックにおけるキーの位置
スコープ付きキーは防御の最初の層です — どのポリシーが実行されるよりも前に、呼び出し元が 誰で何に到達してよいかを決定します。ガードレールとファイアウォールが次の層です。AI エージェントのセキュリティ
なぜエージェントアイデンティティがコントロールスタックの基盤なのか。
ガードレール vs ファイアウォール
キーがバインドできる 2 つのポリシープレーン。
過剰な権限
最小権限キーが封じ込めるために作られた脅威。