跳轉到主要內容
一把沒有上限的金鑰,是一把若代理陷入迴圈就能耗盡你整個工作區 餘額的金鑰。界定一個被入侵或失控代理之波及範圍最有效的 單一方式,就是給它的金鑰一個花費上限。在 託管閘道上,每把金鑰要麼無限制,要麼被一個以美元 衡量的 API 金鑰配額界定——而這個選擇就是金鑰 編輯器中的一個欄位。 本頁說明這兩種模式、上限如何在中繼路徑上 強制執行,以及何時挑哪一種。要了解一把金鑰所 攜帶的完整限制——模型允許清單、IP 允許清單、政策附掛——參見 權杖物件

1. 兩種模式

每把金鑰恰好解析到兩種狀態之一:

無限制

unlimited_quota = true。金鑰汲取工作區餘額,沒有 每把金鑰各自的上限。請求時不執行花費檢查——唯一的 限制是工作區自己的餘額。

有界

credit_limit_usd > 0。金鑰攜帶它自己的終生花費上限,以 美元計。一旦累計花費達到上限,金鑰就停止運作—— 工作區的其餘部分毫髮無傷。
你在主控台的 Keys 畫面(/console/token)中設定這個。建立 或編輯一把金鑰需要 Developer 角色或以上。
credit_limit_usd = 0 意味著無限制——零是「無 上限」的哨兵值,而非「一個零美元上限」。要界定一把金鑰,給它一個 正的美元數額。

2. 一個 API 金鑰配額如何被強制執行

當你把 credit_limit_usd 設為一個正數時,閘道會把 它轉換成那把金鑰的一個內部 remain_quota 餘額,並把 unlimited_quota 翻成 false。從那時起:
  • remain_quota 是金鑰剩餘的花費餘裕,隨著 金鑰計費使用而被扣減。
  • used_quota 是金鑰已經記下的累計花費。
  • 在每個中繼呼叫上,閘道在轉送請求之前檢查 金鑰。一把 remain_quota 已達零的有界金鑰會被拒絕 為耗盡——該呼叫從不抵達模型。
一把無限制金鑰(unlimited_quota = true)會完全跳過那個餘額檢查; 它僅被工作區餘額與你設定的任何其他 金鑰層級限制(模型允許清單、IP 允許清單、到期)所界定。
一把有界金鑰是一個終生上限,而非一個滾動的每月預算—— 上限計算金鑰一生的總花費。對於一個會重置的預算, 依你自己的節奏發行一把全新的有界金鑰(例如每個 sprint 一把新金鑰) 並撤銷舊的那把。參見管理金鑰

3. 一個具體範例

假設你正部署一個排程摘要代理,而你想 保證它無論模型做什麼都絕不能花費超過 $25。 在你建立金鑰時設定上限: 
// POST to the console Keys screen (Developer+).
// Configure in the console — the relay key (sk-orca-…) is never used to
// administer keys; it is only presented on /v1/* inference calls.
{
  "name": "nightly-summarizer",
  "credit_limit_usd": 25,        // bounded: $25 lifetime cap
  "model_limits_enabled": true,
  "model_limits": ["openai/gpt-4o-mini"],
  "expired_time": -1             // -1 = never expires
}
閘道把這存成一把有界金鑰:unlimited_quota = false 與一個 價值 25remainquota。代理像平常一樣用skorca中繼金鑰呼叫模型。累計花費觸及25 的 `remain_quota`。代理像平常一樣用 `sk-orca-…` 中繼金鑰呼叫模型。累計花費觸及 25 的當下, 金鑰被耗盡,且每個進一步的 /v1/* 呼叫都被拒絕——無需你 盯著一個儀表板,且不觸及工作區的其餘部分。 要日後讓同一把金鑰變成無限制,編輯它並翻動無限制 切換——主控台會一起設定 unlimited_quota = truecredit_limit_usd = 0,而金鑰就能再次汲取整個工作區餘額。

4. 該挑哪種模式

任何遞給自主代理、CI 工作,或第三方 整合的金鑰都應該有界。一個花費上限是最便宜的保證, 讓一個提示注入迴圈或一場重試風暴無法跑出一筆無界的 帳單——上限會在損害複合之前就停住金鑰。把它與 一個緊的模型限制與一份 IP 允許清單配對。
對於一把只為一場示範、一次負載測試,或單一 部署而存在的金鑰,把一個小的 credit_limit_usd 與一個 expired_time 結合。金鑰會在它先觸及的任一限制上自行退役。參見 配額上限與到期到期金鑰
一把由你完全掌控的核心生產服務所使用的金鑰,其中一個 每把金鑰各自的上限只會造成假性中斷,可以保持無限制—— 工作區餘額就是後盾。讓這類金鑰維持少數、清楚地 命名它們,並仍以模型與 IP 限制為它們設定範圍。
一把在執行途中耗盡的有界金鑰會立即開始拒絕呼叫。 那正是重點——但這意味著一個無人看管的代理可能在一個工作的 半途停下。為你預期的工作量設定上限大小,並在 主控台的使用檢視中觀察花費,使你能在它咬到一次 合法執行之前調高上限。

5. 上限欄位如何關聯

治理這件事的三個欄位是一個帶有衍生 餘額的單一開關——你設定美元上限,閘道衍生其餘:
欄位含義
credit_limit_usd你的輸入。> 0 = 有界上限(USD);0 = 無限制。
unlimited_quota當金鑰沒有上限時為 true;當你給一個正的 credit_limit_usd 時自動設為 false
remain_quota一把有界金鑰的衍生花費餘裕;達到零會耗盡金鑰。
你在編輯器中永遠只設定 credit_limit_usd(或 unlimited_quota)。 remain_quotaused_quota 是由閘道在金鑰 計費使用時維護的——它們是唯讀的遙測,呈現在主控台的使用 檢視中。

6. 這在控制堆疊中的位置

一個花費上限界定一把金鑰能做多少;金鑰範圍的其餘部分 界定它能做什麼。兩者組合:

配額上限與到期

把一個美元上限與一個絕對到期結合,使一把金鑰在它 先觸及的任一限制上自行退役。

權杖物件

一把金鑰所攜帶的每個欄位——模型限制、IP 允許清單、政策 附掛、環境標籤——彙整於一份參考。

最小自主檢查清單

打造盡可能最狹窄金鑰的完整配方,一次一項限制。

範圍、金鑰與政策

上限如何契合工作區 → 政策 → 金鑰的層級,以及界定一把 金鑰如何縮小波及範圍。
每把金鑰的花費上限越狹窄,任何單一被入侵代理能跑出的 帳單就越小——而你對每把金鑰被授權花費什麼的稽核 軌跡也越清晰。