全部產品
Search

搜尋本產品

    Identity as a Service:大模型出站授權

    文件中心

    Identity as a Service:大模型出站授權

    更新時間:May 26, 2026

    當企業將 AI Agent 接入商務程序時,Agent 需要安全訪問大模型服務,但傳統模式下 API Key 分散管理容易導致泄露和濫用。通過 Agent ID Guard 的大模型出站授權功能,可以實現 API Key 的統一託管和按需分發,保障憑據安全。

    概述

    隨著 AI Agent 技術的廣泛應用,Agent 需要安全地訪問多種外部服務:大模型服務、三方 SaaS 服務以及企業內部服務。針對大模型節點的授權管理是 Agent ID Guard 的核心能力之一,專為大模型服務設計,通過統一託管動態授權機制,實現大模型 API Key 的安全精細化管理:

    • 集中加密託管:API Key 統一儲存於 Agent ID Guard 憑據服務,經阿里雲Key Management Service加密保護,徹底消除明文散落風險。

    • 運行時動態下發:Agent 憑藉身份憑證即時按需擷取 API Key,無需在鏡像或配置中預置,從源頭降低泄露隱患。

    • 最小許可權授權:基於 Agent 身份建立出站授權關係,確保每個 Agent 僅能訪問業務必需的特定 API Key,遵循最小許可權原則。

    核心概念

    概念

    說明

    Agent 節點

    Agent ID Guard 託管的機器身份,底層對應一個 M2M(Machine-to-Machine)應用。

    大模型節點

    Agent 工作流程中的出站節點,每個大模型節點關聯一條 API Key 憑據,託管在 Agent ID Guard 憑據服務中,通過 KMS 加密儲存。

    憑據標識

    API Key 憑據的唯一識別碼,Agent 通過憑據標識擷取對應的 API Key,無需接觸原始 API Key 明文。

    出站授權

    Agent 節點與大模型節點之間的授權,包含功能授權和資料授權。只有建立了出站授權的 Agent,才能擷取該大模型的 API Key。

    功能授權

    控制 Agent 能做什麼操作。註冊 Agent 時系統自動完成功能授權,授予 Agent 擷取憑據的許可權。

    資料授權

    控制 Agent 能擷取哪個具體的憑據,以「關聯身份 + 授權資產」的規則形式定義。註冊 Agent 時系統自動建立一條該 Agent 的授權規則,添加大模型節點後 API Key 憑據自動加入該規則,授予 Agent 擷取該 API Key 憑據的許可權。

    API Key 憑據管理

    大模型 API Key 的出站授權與憑據管理緊密結合:

    • 添加節點時:

      • 大模型 API Key 儲存在 Agent ID Guard 憑據服務中,通過 KMS 加密保護。API Key 在存入 KMS 時會被加密成密文,使用行業標準的密碼編譯演算法,並由專門的硬體安全模組保護。

      • 系統自動將憑據加入 Agent 專屬授權規則,授權即時生效。

    • 刪除節點時:系統自動將憑據從 Agent 專屬授權規則中移除,存取權限即時收回,但憑據本身不會被刪除,可供其他 Agent 繼續使用。

    • API Key 輪換時:管理員在憑據服務中更新 API Key 值,所有關聯的 Agent 在下次擷取時自動拿到新 API Key,無需逐個通知或重新部署 Agent。

    前提條件

    • 已建立 IDaaS EIAM 企業版執行個體,並開啟機器身份管理。

    • 已在 Agent ID Guard 完成 Agent 身份註冊,參考Agent 身份註冊認證配置指南

    • 已擷取大模型服務商頒發的 API Key(如百鍊 API Key)。

    操作步驟

    步驟一:添加大模型節點

    1. 進入 IDaaS EIAM 控制台。

    2. 單擊 Agent身份安全進入 Agent 身份安全列表頁。

    3. 選擇目標 Agent 點擊操作编辑,進入 Agent 詳情頁,單擊頁面下方流程圖中的 Agent 模組。

    4. 確認已完成 Agent 身份註冊(Agent 模組名右邊有個綠色的勾表徵圖),這樣才能添加大模型節點。

    5. 在拓撲圖中右上方單擊添加节点,在快顯功能表中選擇大模型

      說明

      每個大模型節點對應一條 API Key 憑據。如果 Agent 需要訪問多個大模型服務(如同時調用通義千問和 OpenAI),需分別添加多個大模型節點。

    6. 配置大模型節點,根據實際需求選擇以下一種方式:

      添加 API Key 憑據

      API Key 憑據列表中不存在業務所需的憑據時:

      1. 點擊 添加API Key凭据

      2. 配置以下資訊:

      配置項

      說明

      樣本值

      凭据名称

      用於控制台顯示的名稱。

      千問生產環境密鑰

      描述

      用於描述此憑據的用途。

      千問大模型 API Key,僅用於生產環境

      API Key标识

      憑據的唯一識別碼,Agent 通過此標識擷取 API Key 明文。

      qwen-apikey-prod

      API Key值

      大模型的 API Key 明文,錄入後通過 KMS 加密儲存。

      sk-xxxxx

      填寫完成後,單擊确定即可建立憑據。

      選擇已有的 API Key 憑據

      API Key 憑據列表中已存在業務所需的憑據(例如其他 Agent 已添加過同一 API Key 憑據),直接從列表中選擇。

    步驟二:出站授權(自動完成)

    憑據選擇或建立完成後,系統自動將該憑據加入 Agent 的專屬授權規則,無需手動設定。

    完成後可在拓撲圖中確認:

    • Agent 節點與大模型節點之間顯示出站授權連線,表示授權已建立。

    • 單擊連線可查看授權詳情,包括關聯的憑據標識和狀態。

    說明

    如需撤銷某個 Agent 對大模型的存取權限,直接刪除對應的大模型節點即可。系統會自動從專屬授權規則中移除該憑據,憑據本身不會被刪除,不會影響其他 Agent 使用。