Chuyển đến nội dung chính
Một key không có mức trần là một key có thể rút cạn toàn bộ số dư workspace của bạn nếu một agent lặp. Cách hiệu quả nhất để ràng buộc bán kính ảnh hưởng của một agent bị xâm phạm hoặc mất kiểm soát là cho key của nó một mức trần chi tiêu. Trên gateway hosted, mỗi key hoặc là không giới hạn hoặc bị giới hạn bởi một quota api key đo bằng đô la Mỹ — và lựa chọn là một trường trong trình chỉnh sửa key. Trang này giải thích hai chế độ, cách mức trần được thực thi trên đường relay, và khi nào nên chọn cái nào. Để biết toàn bộ tập ràng buộc mà một key mang theo — danh sách mô hình cho phép, danh sách IP cho phép, phần đính kèm chính sách — xem Đối tượng token.

1. Hai chế độ

Mỗi key phân giải về đúng một trong hai trạng thái:

Không giới hạn

unlimited_quota = true. Key rút từ số dư workspace không có mức trần theo từng key. Không có kiểm tra chi tiêu nào chạy lúc request — giới hạn duy nhất là chính số dư của workspace.

Bị giới hạn

credit_limit_usd > 0. Key mang theo mức trần chi tiêu trọn đời riêng của nó bằng USD. Một khi chi tiêu tích lũy chạm mức trần, key ngừng hoạt động — phần còn lại của workspace không bị động chạm.
Bạn đặt cái này ở màn hình Keys trong console (/console/token). Tạo hoặc chỉnh sửa một key yêu cầu vai trò Developer trở lên.
credit_limit_usd = 0 nghĩa là không giới hạn — zero là giá trị sentinel cho “không có mức trần”, không phải “một mức trần không-đô-la”. Để ràng buộc một key, cho nó một số đô la dương.

2. Một quota api key được thực thi ra sao

Khi bạn đặt credit_limit_usd thành một số dương, gateway chuyển nó thành một số dư remain_quota nội bộ cho key đó và gạt unlimited_quota thành false. Từ đó về sau:
  • remain_quota là khoảng trống chi tiêu còn lại của key, được rút dần khi key tính phí sử dụng.
  • used_quota là chi tiêu tích lũy mà key đã ghi nhận.
  • Trên mỗi cuộc gọi relay, gateway kiểm tra key trước khi nó chuyển tiếp request. Một key bị giới hạn có remain_quota đã chạm zero bị từ chối là exhausted (đã cạn) — cuộc gọi không bao giờ đến mô hình.
Một key không giới hạn (unlimited_quota = true) bỏ qua kiểm tra số dư đó hoàn toàn; nó chỉ bị ràng buộc bởi số dư workspace và bởi bất kỳ giới hạn ở cấp key nào khác bạn đặt (danh sách mô hình cho phép, danh sách IP cho phép, hết hạn).
Một key bị giới hạn là mức trần trọn đời, không phải một ngân sách hàng tháng cuộn — mức trần đếm tổng chi tiêu trong cả đời key. Để có một ngân sách reset lại, hãy phát hành một key bị giới hạn mới theo nhịp của riêng bạn (vd: một key mới mỗi sprint) và thu hồi cái cũ. Xem Quản lý key.

3. Một ví dụ cụ thể

Giả sử bạn đang triển khai một agent tóm tắt theo lịch và bạn muốn đảm bảo nó không bao giờ có thể tiêu hơn $25 bất kể mô hình làm gì. Đặt mức trần khi bạn tạo key: 
// POST to the console Keys screen (Developer+).
// Configure in the console — the relay key (sk-orca-…) is never used to
// administer keys; it is only presented on /v1/* inference calls.
{
  "name": "nightly-summarizer",
  "credit_limit_usd": 25,        // bounded: $25 lifetime cap
  "model_limits_enabled": true,
  "model_limits": ["openai/gpt-4o-mini"],
  "expired_time": -1             // -1 = never expires
}
Gateway lưu cái này như một key bị giới hạn: unlimited_quota = false và một remain_quota trị giá 25.Agentgimo^hıˋnhvirelaykeyskorcanhưthườngl.Ngaythikha˘ˊcchitie^utıˊchlu~ychm25. Agent gọi mô hình với relay key `sk-orca-…` như thường lệ. Ngay thời khắc chi tiêu tích lũy chạm 25, key cạn và mọi cuộc gọi /v1/* sau đó bị từ chối — mà bạn không phải canh một dashboard, và không động tới phần còn lại của workspace. Để biến cùng key thành không giới hạn về sau, chỉnh sửa nó và gạt công tắc unlimited — console đặt unlimited_quota = truecredit_limit_usd = 0 cùng nhau, và key có thể rút từ toàn bộ số dư workspace lần nữa.

4. Chọn chế độ nào

Bất kỳ key nào trao cho một agent tự chủ, một CI job, hoặc một tích hợp bên thứ ba đều nên bị giới hạn. Một mức trần chi tiêu là bảo đảm rẻ nhất rằng một vòng lặp prompt-injection hoặc một cơn bão retry không thể chạy lên một hóa đơn không giới hạn — mức trần dừng key trước khi thiệt hại cộng dồn. Ghép nó với một giới hạn mô hình chặt và một danh sách IP cho phép.
Cho một key chỉ tồn tại cho một demo, một load test, hoặc một lần triển khai đơn lẻ, kết hợp một credit_limit_usd nhỏ với một expired_time. Key tự cho mình nghỉ ở bất kỳ giới hạn nào nó chạm trước. Xem Quota, mức trần & hết hạnKey hết hạn.
Một key dùng bởi một dịch vụ production cốt lõi mà bạn kiểm soát hoàn toàn, nơi một mức trần theo từng key chỉ gây ra gián đoạn giả, có thể giữ không giới hạn — số dư workspace là tấm chắn cuối. Giữ số các key này ít, đặt tên chúng rõ ràng, và vẫn định phạm vi chúng với giới hạn mô hình và IP.
Một key bị giới hạn cạn giữa chừng bắt đầu từ chối cuộc gọi ngay lập tức. Đó là điểm mấu chốt — nhưng nó nghĩa là một agent không được canh chừng có thể dừng giữa chừng một job. Định cỡ mức trần cho công việc bạn mong đợi, và theo dõi chi tiêu trong các chế độ xem usage của console để bạn có thể nâng mức trần trước khi nó cắn vào một lần chạy hợp lệ.

5. Các trường mức trần liên quan ra sao

Ba trường chi phối cái này là một công tắc đơn lẻ với một số dư dẫn xuất — bạn đặt mức trần đô la, gateway dẫn xuất phần còn lại:
TrườngÝ nghĩa
credit_limit_usdĐầu vào của bạn. > 0 = mức trần bị giới hạn bằng USD; 0 = không giới hạn.
unlimited_quotatrue khi key không có mức trần; đặt thành false tự động khi bạn cho một credit_limit_usd dương.
remain_quotaKhoảng trống chi tiêu dẫn xuất cho một key bị giới hạn; chạm zero làm cạn key.
Bạn chỉ bao giờ đặt credit_limit_usd (hoặc unlimited_quota) trong trình chỉnh sửa. remain_quotaused_quota được gateway duy trì khi key tính phí sử dụng — chúng là telemetry chỉ-đọc, hiện ra trong các chế độ xem usage của console.

6. Vị trí của nó trong control stack

Một mức trần chi tiêu ràng buộc bao nhiêu một key có thể làm; phần còn lại của phạm vi key ràng buộc cái gì nó có thể làm. Hai cái kết hợp:

Quota, mức trần & hết hạn

Kết hợp một mức trần đô la với một mốc hết hạn tuyệt đối để một key tự cho mình nghỉ ở bất kỳ giới hạn nào nó chạm trước.

Đối tượng token

Mọi trường mà một key mang theo — giới hạn mô hình, danh sách IP cho phép, phần đính kèm chính sách, nhãn môi trường — trong một tham chiếu.

Checklist least-agency

Toàn bộ công thức cho key hẹp nhất có thể, từng ràng buộc một.

Phạm vi, key & chính sách

Cách mức trần khớp vào phân cấp workspace → chính sách → key, và cách ràng buộc một key thu nhỏ bán kính ảnh hưởng.
Mỗi mức trần chi tiêu của key càng hẹp, hóa đơn mà bất kỳ agent bị xâm phạm nào có thể chạy lên càng nhỏ — và audit trail của bạn về những gì mỗi key được phép tiêu càng rõ ràng.