BYOKSBYOKS Docs

安全

Key 存储安全

本指南说明 BYOKS 如何安全存储和使用你的 API Key。

存储架构

  1. 你添加 Key
  2. 加密处理:生成唯一加密密钥 → AES-256-GCM 加密 → 密钥存储在独立服务
  3. 存储层:只存储加密后的 Key,我们无法看到原始 Key

使用流程

当你的请求到达时:

  1. 请求到达边缘节点
  2. 验证你的 BYOKS API Key
  3. 从密钥管理服务获取解密密钥
  4. 解密 Provider Key(内存中,不落盘)
  5. 使用 Key 调用 Provider
  6. 清除内存中的 Key

关键安全措施

措施说明
内存处理Key 只在内存中解密,不写入磁盘
即时清除使用后立即从内存清除
独立加密每个 Key 使用独立的加密密钥
密钥轮换定期轮换加密密钥

我们能看到什么

能看到不能看到
Key 的创建时间Key 的原始值
Key 对应的 ProviderKey 的任何部分
Key 的使用次数Key 的前几位或后几位

你的控制

查看 Key

在 Dashboard 中,你只能看到:

  • Key 的名称
  • 创建时间
  • 最后使用时间
  • 对应的 Provider

你无法再次查看原始 Key。如果忘记,需要在 Provider 处重新生成。

删除 Key

你可以随时删除配置的 Key:

  1. 进入 Dashboard > Providers
  2. 选择要删除的 Key
  3. 点击删除

删除后:

  • 加密的 Key 立即从存储中删除
  • 对应的加密密钥也被删除
  • 无法恢复

更新 Key

如果你的 Provider Key 发生变化:

  1. 进入 Dashboard > Providers
  2. 选择要更新的 Key
  3. 输入新的 Key
  4. 保存

旧 Key 会被立即替换。

最佳实践

创建专用 Key

建议为 BYOKS 创建专用的 Provider Key:

不推荐:
使用你主账户的 Key,同时用于其他服务

推荐:
在 Provider 创建一个专用于 BYOKS 的 Key

好处:

  • 可以独立追踪用量
  • 可以单独设置配额
  • 泄露风险隔离

定期轮换

建议定期更换 Key:

  1. 在 Provider 处生成新 Key
  2. 在 BYOKS 更新配置
  3. 在 Provider 处删除旧 Key

监控使用

定期检查:

  • Dashboard 中的用量是否正常
  • Provider 后台的用量是否匹配
  • 是否有异常的调用模式

安全事件响应

如果你怀疑 Key 泄露:

  1. 立即在 Provider 处禁用 Key
  2. 生成新的 Key
  3. 在 BYOKS 更新配置
  4. 检查用量日志是否有异常

BYOKS 不会主动通知你 Key 泄露,因为我们无法知道你的 Key 是否在其他地方被使用。请自行监控 Provider 后台。

下一步