操作场景
模型密钥 AI 网关安全调用大模型服务的核心凭证。企业/开发者通过 AI 网关对接多家 AI 厂商的模型 API 时,存在关键密钥场景:模型密钥用于存储各 AI 厂商的认证密钥(如厂商 AccessKey、API Secret),网关凭借这些密钥代表用户向厂商发起模型 API 调用。
为确保敏感密钥信息的安全,微服务 TSF AI 网关与腾讯云密钥管理系统(KMS)深度集成,实现密钥的全生命周期加密存储。KMS 使用经过第三方认证的硬件安全模块(HSM)来生成和保护密钥,确保包括腾讯云在内的任何人都无法获取您的明文主密钥,满足严格的合规性要求。通过集中化管理,本功能旨在强化安全管控,杜绝明文泄露和未授权访问风险,同时简化密钥的创建、更新、禁用、删除等运维流程。
前提条件
操作步骤
查看密钥列表
1. 登录微服务平台控制台 ,在左侧导航栏单击云原生智能网关 > 实例列表。
2. 在实例列表页面,单击需要配置的网关实例的“ID”,进入该网关实例的基本信息页面。
3. 在左侧导航栏单击密钥管理,进入密钥列表页。
4. 列表页将展示所有已创建的模型密钥,包括密钥名称、类型、状态和生成方式等信息。您可以在此进行新建、编辑或删除等操作。
5. 当密钥状态为“已启用”时,删除操作将置灰不可用,系统会提示“请先禁用该密钥”。
新建密钥
1. 登录微服务平台控制台 ,在左侧导航栏单击云原生智能网关 > 实例列表。
2. 在实例列表页面,单击需要配置的网关实例的“ID”,进入该网关实例的基本信息页面。
3. 在左侧导航栏单击密钥管理,进入密钥列表页。
4. 在模型密钥列表页,单击新建。
5. 在“新建密钥”窗口中,配置以下参数:
参数 | 是否必填 | 说明 |
密钥名称 | 是 | 最长60个字符,支持中英文大小写、数字及分隔符(“-”、“_”),不能以数字和分隔符开头,不能以分隔符结尾 |
生成方式 | 是 | 密钥管理系统(KMS凭据):关联腾讯云KMS中的凭据。需填写“凭据名称”和“凭据版本”,若无 KMS 凭证,则可以点击“新建凭证”跳转新建 自定义:手动输入密钥值(模型密钥为API-KEY值,消费者密钥为凭证内容) |
描述 | 否 | 密钥的标识描述信息,最长可输入200个字符。 |
6. 单击确定,完成密钥创建。网关会通过集成KMS服务(若生成方式选择KMS 凭据),确保密钥的加密安全存储。
查看密钥详情
1. 登录微服务平台控制台 ,在左侧导航栏单击云原生智能网关 > 实例列表。
2. 在实例列表页面,单击需要配置的网关实例的“ID”,进入该网关实例的基本信息页面。
3. 在左侧导航栏单击密钥管理,进入密钥列表页。
4. 在模型密钥列表页,单击目标密钥的“ID/名称”。
5. 进入密钥详情页,您可以查看:
基本信息:包括密钥名称、类型、状态、创建时间等。
已绑定模型资源:展示当前密钥已关联的模型服务资源信息。
编辑密钥
1. 登录微服务平台控制台 ,在左侧导航栏单击云原生智能网关 > 实例列表。
2. 在实例列表页面,单击需要配置的网关实例的“ID”,进入该网关实例的基本信息页面。
3. 在左侧导航栏单击密钥管理,进入密钥列表页。
4. 在模型密钥列表页,找到目标密钥,单击其操作列下的编辑;或在密钥详情页右上角单击编辑。
5. 在编辑窗口中,支持修改密钥的名称和描述(备注)信息。
6. 单击确定保存修改。
密钥绑定模型服务
模型服务与密钥为多对多关系,一个模型服务可以绑定多个密钥,一个密钥也可以绑定多个模型服务。您可以为密钥绑定多个模型服务。
1. 登录微服务平台控制台 ,在左侧导航栏单击云原生智能网关 > 实例列表。
2. 在实例列表页面,单击需要配置的网关实例的“ID”,进入该网关实例的基本信息页面。
3. 在左侧导航栏单击密钥管理,进入密钥列表页。
4. 在模型密钥列表页,单击目标密钥的“ID/名称”,进入详情页
5. 点击添加资源,在“新增资源”弹窗中,左侧“请选择模型服务”区域会列出所有可选的模型服务,您可以通过搜索框快速查找。
6. 在左侧列表中,勾选一个或多个需要绑定到该密钥的模型服务,被选中的模型服务会出现在右侧“已选择”列表中。
7. 如需移除模型服务,可在右侧“已选择”列表中,点击某个模型服务条目右侧的 × 图标,可将其从本组关联关系中移除。
8. 调整完毕后,点击 确定 保存关联关系。
启用/禁用密钥
模型密钥只有在启用状态下才可以生效,这意味着当密钥处于关闭或未激活状态时,AI 网关将无法识别或使用该密钥进行任何操作,因此在使用前务必确认密钥是否已正确启用。
1. 登录微服务平台控制台 ,在左侧导航栏单击云原生智能网关 > 实例列表。
2. 在实例列表页面,单击需要配置的网关实例的“ID”,进入该网关实例的基本信息页面。
3. 在左侧导航栏单击密钥管理,进入密钥列表页。
4. 在模型密钥列表页,找到目标密钥,单击其操作列下禁用后,密钥处于“已禁用”状态, AI 网关将无法识别或使用该密钥进行任何操作。
5. 启用操作需要在目标密钥处于“已禁用”情况下:单击启用,密钥将处于“启用”状态。
删除密钥
1. 登录微服务平台控制台 ,在左侧导航栏单击云原生智能网关 > 实例列表。
2. 在实例列表页面,单击需要配置的网关实例的“ID”,进入该网关实例的基本信息页面。
3. 在左侧导航栏单击密钥管理,进入密钥列表页。
4. 在模型密钥列表页,找到目标密钥,单击其操作列下禁用后,才可以进行删除操作,等待密钥禁用后,点击删除即可。
5. 系统将进行删除前的依赖关系校验:
若密钥已解除所有关联(模型密钥需解除所有模型服务关联),则弹窗直接显示密钥信息,点击确定即可删除。
若密钥仍存在关联资源,弹窗会提示“存在未解除的依赖关系”并列出具体依赖项。您需要先解除所有依赖关系后,点击重新检查,校验通过后方可删除。
注意事项:
KMS 凭据状态变化:如果您在腾讯云 KMS 控制台中修改了某个凭据,AI 网关为保障业务连续性,会短暂继续使用缓存的旧凭证内容(默认缓存时间约5分钟)。建议您在 KMS 上创建新版本的凭据,并在网关中关联新凭据后,再删除旧的 API Key 版本,以确保变更及时生效。
同时为了增加密钥高可用性,建议您为模型服务配置多个凭证,避免某个凭证被禁用后,模型服务不可用导致事故产生。
