1. Po co klucze api o ograniczonym zakresie dla agentów llm
Ogólny klucz API to poświadczenie na okaziciela: ktokolwiek je trzyma, może wywołać dowolny model, z dowolnego miejsca, na dowolną kwotę, bez żadnej przypiętej polityki. To przeciwieństwo tego, czego potrzebuje autonomiczny agent. Na OrcaRouter klucz API to nie tylko poświadczenie — to deklaracja zakresu. Każdy klucz niesie własne ograniczenia (które modele, które IP, ile wydatków, kiedy wygasa) oraz wskazuje na guardrail i politykę firewalla, które rządzą jego ruchem. Edycja polityki, na którą wskazuje klucz, wchodzi w życie przy następnym żądaniu, bez ponownego wdrożenia i bez zmiany w kodzie agenta. Zasada to minimalne uprawnienia: nadaj każdemu agentowi najwęższą tożsamość, która wciąż pozwala mu wykonać jego pracę, i nic więcej. Jeden klucz, jeden agent, jeden cel.2. Co niesie klucz o ograniczonym zakresie
Każdy klucz to pakiet limitów plus dwa załączniki polityk. Każde pole jest udokumentowane na własnej stronie — linki-szprychy poniżej prowadzą w głąb.Limity modeli
model_limits ogranicza klucz do nazwanej listy modeli. Wywołanie poza
listą jest odrzucane, zanim opuści bramę — agent nie może przełączyć się
na droższy lub potężniejszy model.Lista dozwolonych IP
allow_ips przypina klucz do konkretnych adresów źródłowych. Wyciekły
klucz okazany skądkolwiek indziej jest odrzucany na warstwie
uwierzytelniania.Kwota, limit i wygaśnięcie
credit_limit_usd ogranicza wydatki w całym okresie życia (0 =
nieograniczone); expired_time ustawia bezwzględne wygaśnięcie (-1 =
nigdy).Środowiska
environment to dowolna etykieta (prod, staging, dev) do
organizowania kluczy i filtrowania logów.Powiązanie polityk
guardrail_id i firewall_policy_id dołączają do klucza politykę treści
i politykę wywołań narzędzi. Brak załącznika wraca do domyślnej polityki
przestrzeni roboczej.Obiekt tokenu
Pełna referencja klucza pole po polu, w tym
remain_quota / used_quota
oraz is_firewall_gateway.Ograniczony vs nieograniczony. Klucz z
credit_limit_usd: 0 i
expired_time: -1 nie ma limitu wydatków i nigdy nie wygasa — wygodne, ale
najgorszy promień rażenia, gdy wycieknie. Zobacz
nieograniczone vs ograniczone dla
tego, kiedy każde jest odpowiednie.3. Jeden konkretny klucz o minimalnych uprawnieniach
Zaplanowany agent, który streszcza zgłoszenia wsparcia jednym tanim modelem i działa z jednego hosta, potrzebuje prawie żadnych uprawnień. Dobrze ograniczony klucz dla niego:| Pole | Wartość | Dlaczego |
|---|---|---|
model_limits | jeden model do streszczania | nie może eskalować do modelu z pierwszej linii |
allow_ips | CIDR egressu schedulera | wyciekły klucz jest bezużyteczny gdzie indziej |
credit_limit_usd | tygodniowy pułap | rozbiegana pętla nie wydrenuje salda |
expired_time | koniec wdrożenia | auto-wygasa, nie może zalegać |
guardrail_id | guardrail maskujący PII | tekst żądania jest prześwietlany |
firewall_policy_id | lista dozwolonych tylko z potrzebnymi narzędziami | brak niespodziewanych wywołań narzędzi |
4. Powiązanie dwóch płaszczyzn polityk
Dwa załączniki to najpotężniejsze pola na kluczu i rozwiązują się inaczej, gdy dołączona polityka jest wyłączona:guardrail_id — prześwietlanie treści
guardrail_id — prześwietlanie treści
Prześwietla tekst żądania i odpowiedzi (PII, sekrety, prompt
injection) wobec uporządkowanego
guardrailu w zakresie przestrzeni roboczej.
Rozwiązywanie: jawny, włączony
guardrail_id ma zastosowanie;
wyłączony jest przełącznikiem wyłączającym — nie wraca do
domyślnego guardrailu przestrzeni roboczej. Bez załącznika stosuje się
domyślny guardrail przestrzeni roboczej, w przeciwnym razie nic.firewall_policy_id — egzekwowanie wywołań narzędzi
firewall_policy_id — egzekwowanie wywołań narzędzi
Rządzi akcjami, które podejmuje agent — wywołaniami narzędzi,
dyspozycjami MCP, egressem — wobec
polityki firewalla w zakresie przestrzeni
roboczej. Rozwiązywanie różni się od guardrails: wyłączona dołączona
polityka firewalla wraca do domyślnej polityki przestrzeni roboczej,
nie wyłącza egzekwowania.
is_firewall_gateway — inny rodzaj klucza
is_firewall_gateway — inny rodzaj klucza
Token w zakresie gateway jest wybijany wyłącznie dla tras Firewall MCP i
evaluate-hook (
/api/v1/firewall/*), nigdy do inferencji. Zwykły klucz
dostaje tam 403. Włączenie tej flagi oraz odczyt plaintextu klucza
gateway wymagają Admin+.5. Sekcja kluczy
Zarządzanie kluczami
Twórz, edytuj i unieważniaj klucze w konsoli.
Rotacja
Wymień klucz bez przestoju.
Klucze wygasające
Krótkożyciowe klucze dla efemerycznych agentów i przebiegów CI.
Maskowanie klucza
Klucze są maskowane przy wyświetlaniu; plaintext jest pokazywany raz przy
tworzeniu.
Wyciekły klucz
Co zrobić w chwili, gdy klucz zostanie ujawniony.
Lista kontrolna minimalnych uprawnień
Przepuść każdy klucz przez ten sam przebieg utwardzania.
6. Gdzie klucze siedzą w stosie kontrolnym
Klucz o ograniczonym zakresie to pierwsza warstwa obrony — decyduje, kim jest wywołujący i do czego może sięgnąć, zanim uruchomi się jakakolwiek polityka. Guardrails i Firewall to kolejne warstwy.Zabezpieczanie agentów AI
Dlaczego tożsamość agenta jest fundamentem stosu kontrolnego.
Guardrails vs Firewall
Dwie płaszczyzny polityk, z którymi klucz może się wiązać.
Nadmierne uprawnienia
Zagrożenie, które klucze o minimalnych uprawnieniach mają zawężać.