1. API キーの支出制限:credit_limit_usd
credit_limit_usd は、プレーンな USD で表現された、キーの生涯支出の上限です。キーエディタで
ドル数を入力すると、OrcaRouter はそれをキーの開始クォータに変換し、すべての呼び出しをそれに
対して課金します。
境界づけ
credit_limit_usd: 25 は $25 の支出を持つキーを発行します。各呼び出しはそのコストを
引き落とし;残高がゼロに達すると、キーは認可を停止し、それ以降のすべてのリクエストが
拒否されます。無制限
credit_limit_usd: 0 は上限なしのセンチネルです — キーはキーごとの上限なしに
ワークスペース残高を引き出します。便利ですが、漏洩した場合に最悪の被害範囲です。2. 上限がどう課金されるか:remain_quota と used_quota
入力するドル上限は、人間に向いた表面です。その下で、ゲートウェイはキー上の 2 つの実行中
カウンターを追跡します:
| フィールド | 意味 |
|---|---|
remain_quota | キーが認可を停止するまでに残された支出。 |
used_quota | キーの生涯にわたってこれまでに消費された支出。 |
credit_limit_usd を設定すると、そのドル数から remain_quota がシードされます;課金
されるすべての呼び出しが、コストを remain_quota から used_quota へ移します。無制限の上限を
持つキーは代わりに unlimited_quota を運び、残高チェックは完全にスキップされます。
3. 自動失効:expired_time
expired_time は絶対的な締め切りです — その後キーが認可を停止する、Unix エポック
タイムスタンプ(秒)で、残り予算がどれだけあろうと関係ありません。
- 未来のタイムスタンプは、その瞬間にキーを失効させます。ゲートウェイはすべての リクエストでそれを現在時刻と比較し、過ぎていれば呼び出しを拒否します。
-1は決して失効しないのセンチネルです。
4. ひとつの具体的な上限付き失効キー
1 つの安価なモデルで請求書を照合し、2 週間のパイロットを実行し、一晩あたり数ドルを超える コストがかかるべきでない夜間ジョブは、ほとんど権限を必要としません。そのキーをコンソールの キーエディタ(/console/token — Developer+)で設定します:
このエージェントが 3 日目に乗っ取られても、被害は $40 の残りが何であれそれに境界づけられ、
キー全体はどのみち 11 日で消えます。ワークスペースの残りは無傷です。
両フィールドはキー上の USD と時間であり、ワークスペース全体のポリシーではありません。単一の
エージェント実行の支出を(キーの生涯ではなく)上限設定するには、ファイアウォールの
cap_cost 判定が実行ごとのサーキットブレーカーです —
ファイアウォールルールを参照。この 2 つは組み合わさります:
キー上限は生涯を境界づけ、cap_cost は単一の実行を境界づけます。5. 誰がこれらを設定できるか
credit_limit_usd と expired_time の設定は、キーの作成または編集の一部であり、Developer
ロール以上を必要とします。どのワークスペースメンバーもキーのマスクされたレコードを読めます;
Developer+ だけがその制限を変更できます。キーは表示時にマスクされます — 平文は作成時に一度
表示されます(キーマスキングを参照)。
6. デフォルトで境界づけ
credit_limit_usd: 0 かつ expired_time: -1 のキーは、支出上限がなく決して失効しません
— 最大の権限、最悪の被害範囲。それをデフォルトではなく、意図的な例外にしてください。
無制限 vs 境界づけ
上限なしの非失効キーが実際に正しい選択であるとき — そしてそうでないとき。
最小権限チェックリスト
すべての本番キーを、出荷前に同じ強化パスに通す。
7. 関連
トークンオブジェクト
クォータカウンターを含む、キー上のすべてのフィールド。
ポリシーをバインド
ガードレールとファイアウォールポリシーを同じキーにアタッチします。
過剰な権限
支出上限と失効が封じ込めるために作られた脅威。