메인 콘텐츠로 건너뛰기
침해된 에이전트는 스스로 멈추지 않습니다. 그것을 재시도 루프에 빠뜨리는 프롬프트 인젝션이나, CI 로그의 유출된 키는 무언가가 멈추라고 말할 때까지 모델을 계속 호출합니다. OrcaRouter에서 그 “무언가”는 키 자체의 두 필드입니다: 지출 상한만료. 키 편집기에서 한 번 설정하면 게이트웨이가 모든 요청에서 둘 다 강제합니다 — 에이전트 코드 변경도, 재배포도 없이. 이 페이지는 그 두 제한에 대한 집중 레퍼런스입니다. 전체 키 필드 목록은 토큰 객체를 참조하세요; 그것들을 둘러싼 신원 모델은 범위 지정 키 개요를 참조하세요.

1. API 키 지출 한도: credit_limit_usd

credit_limit_usd는 키의 평생 지출 천장이며, 평범한 USD로 표현됩니다. 키 편집기에 달러 수치를 입력하면; OrcaRouter는 그것을 키의 시작 쿼터로 변환하고 모든 호출을 그에 대해 미터링합니다.

Bounded

credit_limit_usd: 25$25의 지출을 가진 키를 발행합니다. 각 호출은 그 비용을 차감합니다; 남은 잔액이 0에 닿으면 키는 인가를 멈추고 이후의 모든 요청이 거부됩니다.

Unlimited

credit_limit_usd: 0상한 없음의 센티넬입니다 — 키는 키별 천장 없이 당신의 워크스페이스 잔액에서 끌어옵니다. 편리하지만, 유출 시 최악의 피해 반경입니다.
0은 “0달러”를 의미하지 않습니다 — 그것은 무제한을 의미합니다. 작은 예산으로 잠그려던 키는 양수를 담아야 합니다. “이 키는 아무것도 지출하지 못한다”를 표현하려면, 상한을 0으로 설정하지 말고 그것을 비활성화하거나 삭제하세요.

2. 상한이 미터링되는 방식: remain_quota & used_quota

당신이 입력하는 달러 상한은 사람을 향한 표면입니다. 그 아래에서, 게이트웨이는 키에서 두 개의 진행 카운터를 추적합니다:
필드의미
remain_quota키가 인가를 멈추기 전 남은 지출.
used_quota키의 생애 동안 지금까지 소비된 지출.
양수 credit_limit_usd를 설정하면 그 달러 수치에서 remain_quota가 시드됩니다; 청구되는 모든 호출은 비용을 remain_quota에서 used_quota로 옮깁니다. 무제한 상한을 가진 키는 대신 unlimited_quota를 담으며, 잔액 검사가 전적으로 건너뛰어집니다.
guardrail 또는 firewall block은 모델이 실행되기 전에 발동할 때 상한에 대해 아무 비용도 들지 않습니다 — 입력 단계 guardrail_blocked와 inbound firewall_blocked는 둘 다 미터링 전에 일어나므로, remain_quota는 손대지 않습니다. 출력 단계 guardrail block은 요청을 환불합니다. guardrailsfirewall을 참조하세요.

3. 자동 만료: expired_time

expired_time은 절대 차단선입니다 — 그 이후 키가 인가를 멈추는 Unix 에포크 타임스탬프(초)이며, 예산이 얼마나 남았든 상관없습니다.
  • 미래 타임스탬프는 그 순간에 키를 만료시킵니다. 게이트웨이는 모든 요청에서 그것을 현재 시각과 비교하고 그것이 지나면 호출을 거부합니다.
  • **-1**은 절대 만료되지 않음의 센티넬입니다.
두 제한은 독립적이며 둘 다 통과해야 합니다. 예산이 남아 있지만 expired_time이 지난 키는 죽은 것입니다; 유효 기간 안에 있지만 remain_quota가 0인 키도 죽은 것입니다. 먼저 걸리는 경계가 이깁니다. 편집기는 과거로 설정된 만료를 거부하므로, 실수로 태어나면서 만료된 키를 발행할 수 없습니다.
CI 실행마다 또는 임시 에이전트마다 발행되는 단명 키에 대해서는 만료 키를 참조하세요.

4. 하나의 구체적인 상한 적용 만료 키

저렴한 모델 하나로 인보이스를 대조하고, 2주 파일럿 동안 실행되며, 밤마다 몇 달러 이상 들어서는 안 되는 야간 작업은 거의 권한이 필요 없습니다. 콘솔 키 편집기 (/console/tokenDeveloper+)에서 그 키를 구성하세요:
1

지출 상한 설정

credit_limit_usd: 40 — 파일럿의 전체 예산. 폭주하는 재시도 루프는 당신의 워크스페이스 잔액이 아니라 키를 소진시킵니다.
2

만료 설정

expired_time: 파일럿 기간 종료의 Unix 타임스탬프. 키는 자동 만료되며 파일럿이 출시된 후에는 재사용할 수 없습니다.
3

다른 범위와 짝짓기

프런티어 모델로 격상할 수 없도록 model_limits를 추가하고, 유출된 키가 스케줄러 호스트를 벗어나면 무용지물이 되도록 allow_ips를 추가하세요.
이 에이전트가 셋째 날에 탈취되면, 피해는 남은 $40에 한정되며, 어쨌든 키 전체는 11일 안에 사라집니다. 워크스페이스의 나머지는 손대지 않습니다.
두 필드 모두 워크스페이스 전체 정책이 아니라 키의 USD-및-시간입니다. 단일 에이전트 실행의 지출에 상한을 두려면(키의 생애가 아니라), Firewall의 cap_cost 판정이 실행별 회로 차단기입니다 — firewall 규칙을 참조하세요. 둘은 결합됩니다: 키 상한은 생애를 제한하고, cap_cost는 단일 실행을 제한합니다.

5. 누가 이것을 설정할 수 있는가

credit_limit_usdexpired_time 설정은 키를 생성하거나 편집하는 것의 일부이며, Developer 역할 이상이 필요합니다. 모든 워크스페이스 멤버는 키의 마스킹된 레코드를 읽을 수 있습니다; Developer+만 그 제한을 변경할 수 있습니다. 키는 표시 시 마스킹됩니다 — 평문은 생성 시 한 번 표시됩니다 (see 키 마스킹).

6. 기본적으로 Bounded

credit_limit_usd: 0 그리고 expired_time: -1을 가진 키는 지출 상한이 없고 결코 만료되지 않습니다 — 최대 권한, 최악의 피해 반경. 그 조합을 기본값이 아니라 의도적인 예외로 만드세요.

Unlimited vs bounded

상한도 만료도 없는 키가 실제로 옳은 선택일 때 — 그리고 아닐 때.

최소 권한 체크리스트

모든 프로덕션 키를 출시 전에 동일한 강화 패스에 통과시키세요.

7. 관련

토큰 객체

쿼터 카운터를 포함한 키의 모든 필드.

정책 바인딩

guardrail과 firewall 정책을 동일한 키에 연결합니다.

과도한 권한

지출 상한과 만료가 봉쇄하도록 만들어진 위협.
지출 상한과 만료는 키에 대한 가장 저렴한 보험입니다: 두 개의 숫자가 무한정의 자격 증명을 — 청구서가 알아챌 때까지 실행되는 대신 — 비거나 만료되어 안전하게 실패하는 것으로 바꿉니다.