Powiąż klucz z guardrailem i polityką firewalla

Stworzyłeś guardrail i politykę firewalla dla swojej przestrzeni roboczej. Teraz chcesz, by ten jeden klucz — ten, którego używa twój agent finansowy — uruchamiał ściślejszą politykę treści i ciaśniejszą listę dozwolonych narzędzi niż reszta przestrzeni roboczej. To właśnie robią dwa pola załączników na kluczu: wiążą guardrail i politykę firewalla z jednym kluczem, a każde żądanie, które ten klucz wykonuje, jest prześwietlane i egzekwowane dokładnie przez te polityki — bez zmiany w kodzie agenta, bez ponownego wdrożenia. Ta strona omawia dwa pola, jak rozwiązują się w czasie żądania oraz jedną regułę rozwiązywania, która łapie ludzi: wyłączony załącznik firewalla zachowuje się inaczej niż wyłączony załącznik guardrailu.

1. Polityka bezpieczeństwa per klucz: dwa pola na kluczu

Guardrail prześwietla tekst, który płynie przez model (PII, sekrety, jailbreaki). Polityka firewalla rządzi wywołaniami narzędzi, które agent wystawia (które narzędzia, które serwery MCP, które hosty). Oba są nazwanymi politykami w zakresie przestrzeni roboczej — stworzonymi raz, współdzielonymi w przestrzeni roboczej — a klucz wybiera konkretną przez dwa pola:

Pole	Wiąże	Ustawiane w konsoli
`guardrail_id`	Guardrail, który prześwietla prompty i odpowiedzi tego klucza.	Developer+
`firewall_policy_id`	Polityka firewalla, która ocenia wywołania narzędzi tego klucza.	Developer+

Oba są ustawiane w edytorze klucza pod /console/token. Ustawienie któregokolwiek to akcja Developer+ — same polityki są również tworzone jako Developer+ (zobacz Zakres i klucze).

Te dwa pola są niezależne. Klucz może dołączyć guardrail i nie dołączyć polityki firewalla, na odwrót, oba lub żadnego — każda płaszczyzna rozwiązuje się sama. Pozostawienie pola nieustawionego (0) to nie to samo, co wyłączenie egzekwowania; zobacz §3.

2. Jeden konkretny przykład

Powiedzmy, że domyślny guardrail twojej przestrzeni roboczej flaguje PII, ale przepuszcza je, a domyślna polityka firewalla audytuje każde wywołanie narzędzia. To w porządku dla większości agentów — ale twój agent finansowy obsługuje numery SSN klientów i nigdy nie powinien wywoływać narzędzia shell. Stwórz ściślejszy finance-guardrail (blokuje PII wprost) i finance-firewall (lista dozwolonych tylko z trzema potrzebnymi narzędziami), a potem powiąż oba z kluczem tego agenta:

# Konfiguruj przez KONSOLĘ (UserAuth — twoja sesja), nie kluczem relay.
# To jest wywołanie aktualizacji klucza, które wykonuje edytor pod /console/token.
PUT /api/token
{
  "id": 4127,
  "name": "finance-agent",
  "guardrail_id": 12,          // finance-guardrail (PII = block)
  "firewall_policy_id": 8      // finance-firewall (lista 3 dozwolonych narzędzi)
}

Od następnego żądania ruch tego klucza jest prześwietlany przez guardrail 12, a jego wywołania narzędzi oceniane przez politykę 8 — podczas gdy każdy inny klucz w przestrzeni roboczej dalej uruchamia domyślne przestrzeni roboczej. Własny kod agenta nigdy się nie zmienia; dalej wywołuje https://api.orcarouter.ai/v1/... swoim kluczem sk-orca-… dokładnie jak wcześniej.

To wzorzec minimalnych uprawnień: jeden wąsko ograniczony klucz na agenta, każdy powiązany z politykami, których faktycznie potrzebuje jego praca. Gdy ten agent zostanie skompromitowany, promień rażenia to to, do czego jego klucz był upoważniony — nic więcej. Zobacz listę kontrolną minimalnych uprawnień.

3. Rozwiązywanie: reguła, która łapie ludzi

Dla każdego żądania brama rozwiązuje aktywny guardrail i aktywną politykę firewalla niezależnie. Kolejność wygląda tak samo dla obu — najpierw załącznik, potem domyślne przestrzeni roboczej — ale rozchodzą się w jednym przypadku.

Rozwiązywanie guardrailu

Dołączony i włączony → użyj go

guardrail_id klucza wskazuje na guardrail, który istnieje i jest włączony. Ten guardrail prześwietla żądanie.

Dołączony, ale WYŁĄCZONY lub usunięty → brak guardrailu

Wyłączenie dołączonego guardrailu jest przełącznikiem wyłączającym. Klucz nie dostaje żadnego prześwietlania treści — nie wraca do domyślnego przestrzeni roboczej. To celowe: dołączenie guardrailu i wyłączenie go to sposób, by wyłączyć prześwietlanie dla tego klucza.

Nieustawiony (0) → domyślny przestrzeni roboczej

Brak guardrail_id na kluczu. Stosuje się włączony domyślny guardrail przestrzeni roboczej, jeśli jakiś jest ustawiony.

Żadne → brak egzekwowania

Brak załącznika i brak domyślnego przestrzeni roboczej → żądanie przechodzi bez prześwietlania treści.

Rozwiązywanie firewalla

Dołączona i włączona → użyj jej

firewall_policy_id klucza wskazuje na politykę, która istnieje i jest włączona. Ta polityka ocenia wywołania narzędzi klucza.

Dołączona, ale WYŁĄCZONA → domyślna przestrzeni roboczej

Tu jest różnica. Wyłączony załącznik firewalla wraca do domyślnej polityki firewalla przestrzeni roboczej — nie wyłącza egzekwowania. Wyłączenie załącznika firewalla cofa klucz do domyślnej przestrzeni roboczej; nie pozostawia klucza bez ochrony.

Nieustawiona (0) → domyślna przestrzeni roboczej

Brak firewall_policy_id na kluczu → stosuje się włączona domyślna polityka firewalla przestrzeni roboczej.

Wyłączenie dołączonej polityki nie jest symetryczne. Wyłączony załącznik guardrailu oznacza brak guardrailu dla tego klucza. Wyłączony załącznik firewalla oznacza powrót do domyślnej przestrzeni roboczej. Jeśli chcesz, by klucz naprawdę nie uruchamiał egzekwowania firewalla, nie dotrzesz tam przez wyłączenie jego załącznika — upewnij się, że żadna domyślna polityka firewalla przestrzeni roboczej nie jest ustawiona (albo ogranicz klucz tak, by nie wystawiał żadnych rządzonych wywołań narzędzi).

Co najwyżej jeden guardrail i jedna polityka firewalla na przestrzeń roboczą mogą być domyślne w danym momencie; promowanie nowego domyślnego degraduje stary w tej samej transakcji, więc nigdy nie możesz przypadkiem mieć dwóch.

4. Jak wygląda block

Gdy powiązana polityka odmawia żądania, wywołujący widzi ustrukturyzowany błąd — agent może zareagować zamiast się wysypać:

Płaszczyzna	Kod błędu	HTTP	Koszt
Guardrail	`guardrail_blocked`	400	Brak — block wejścia odpala przed pomiarem; block wyjścia zwraca koszt. Oznaczony skip-retry.
Firewall (inbound)	`firewall_blocked`	400	Block inbound odpala przed wywołaniem modelu, więc bez tokenów modelu. Skip-retry.
Firewall (wstrzymane)	`firewall_approval_pending`	400	Wstrzymane do zatwierdzenia przez człowieka; agent odpytuje i ponownie wysyła po zatwierdzeniu.

Oba ciała błędów są w kształcie OpenAI i nazywają politykę oraz powód, więc twój agent może rozgałęzić się na kodzie. Pełny rekord zdarzenia i jak dopasowania są logowane, zobacz w głębszych referencjach.

5. Dokąd dalej

Zakres i klucze

Pełny trójpoziomowy model — przestrzeń robocza, polityka, klucz — i każde pole, które niesie klucz.

Obiekt tokenu

Każde pole na kluczu: model_limits, allow_ips, credit_limit_usd, expired_time oraz dwa załączniki polityk.

Guardrails

Stwórz politykę treści, którą wiążesz przez guardrail_id — reguły, encje PII, akcje i presety.

Firewall

Stwórz politykę wywołań narzędzi, którą wiążesz przez firewall_policy_id — werdykty, powierzchnie i poziomy autonomii.

Chcesz ustawić całą postawę przestrzeni roboczej jednym ruchem zamiast wiązać klucze pojedynczo? Poziom autonomii zapisuje obie płaszczyzny — guardrails i firewall — naraz. Potem dołącz ściślejsze polityki na tych kilku kluczach, które muszą pójść dalej niż domyślne przestrzeni roboczej. Zobacz Guardrails vs Firewall.

​1. Polityka bezpieczeństwa per klucz: dwa pola na kluczu

​2. Jeden konkretny przykład

​3. Rozwiązywanie: reguła, która łapie ludzi

​Rozwiązywanie guardrailu

​Rozwiązywanie firewalla

​4. Jak wygląda block

​5. Dokąd dalej

Zakres i klucze

Obiekt tokenu

Guardrails

Firewall

1. Polityka bezpieczeństwa per klucz: dwa pola na kluczu

2. Jeden konkretny przykład

3. Rozwiązywanie: reguła, która łapie ludzi

Rozwiązywanie guardrailu

Rozwiązywanie firewalla

4. Jak wygląda block

5. Dokąd dalej