AIゲートウェイ バーチャルキー(Virtual Key)
バーチャルキー(Virtual Key)は、AIゲートウェイが発行するゲートウェイプロキシエンドポイントへのアクセス用認証情報です。バーチャルキーはアプリケーションやAIツールに配布し、本物のベンダーAPIキーはゲートウェイ側のみで安全に管理されます。これにより、本物のキーの漏洩リスクを防ぎつつ、それぞれのバーチャルキーごとに権限・レート・ローテーション・無効化の設定ができます。本記事ではバーチャルキーのライフサイクル管理について解説します。
バーチャルキーを使う理由
- 本物のキーを保護 — アプリやツールはバーチャルキーのみ利用し、ベンダーのAPIキーが外部に漏洩しません。
- 用途ごとに権限を細かく設定 — プロジェクトやツールごとに異なるバーチャルキーを作成でき、利用モデル・チャネル・レートも個別に設定可能。
- いつでも無効化できる — キーが漏洩した場合や不要になった場合、個別に無効化またはローテーションが即時可能。他のキーには影響しません。
前提条件
- ServBayアカウントにログイン済みであること。
- チャネル ページで、最低1つ以上の利用可能なチャネルを追加していること。
バーチャルキーの作成
AIゲートウェイ → キー(Keys) ページで作成(Create) をクリックします。
- 名前 — キーの用途を識別する名称(例:
claude-code、my-app-devなど)。 - 説明(任意) — 補足情報。
- 有効期限 — 無期限または指定した日付を設定可能。
- 許可チャネル(任意) — タグで指定したチャネルのみ利用可能に制限。未指定の場合は制限なし。
- 許可モデル(任意) — 指定したモデルのみ利用可能に制限。未指定の場合は制限なし。
- レート制限(任意):
- RPM / TPM — 1分あたりのリクエスト数/トークン数の上限。
- RPD / TPD — 1日あたりのリクエスト数/トークン数の上限。
平文は一度だけ表示されます
キー作成後、ゲートウェイは平文のバーチャルキー(servbay-sk-xxxxxxxx...の形式)を一度だけ表示します。必ずコピーして安全に保存してください。画面を閉じると、識別用のプレフィックスのみ保持され、平文を再表示することはできません。紛失した場合は「ローテーション」で新規キーを生成し直す必要があります。
キー一覧
キー一覧では、各バーチャルキーの以下情報を確認できます。
- プレフィックス — 例:
servbay-sk-abcd...、識別用。 - ステータス — 有効(active)、無効化済み(revoked)、期限切れ(expired)。
- 作成日時 / 最終利用日時
- 権限制限 — 許可されたモデル/チャネル、レート制限
キー管理
キー一覧では各キーに対して次の操作が可能です。
| 操作 | 説明 | 影響 |
|---|---|---|
| 編集(Edit) | 名前・説明・許可モデル/チャネル・レート制限の変更 | 即時反映。キー自体は変わらない |
| ローテーション(Renew) | 新しい平文を生成し、古い平文は即座に無効。新キーは一度だけ表示される | このキーを利用している全てのアプリ/ツールの設定更新が必要 |
| 無効化(Revoke) | キーを即時停止(監査ログは保持) | 復元不可。そのキーでのリクエストは拒否 |
| 削除(Delete) | キーを完全削除 | 復元不可 |
ローテーションと無効化の違い
- ローテーション(Renew):キー自体は残したまま新規平文を発行。キーの漏洩が疑われるが設定は継続したい場合などに利用。利用側の設定更新を忘れずに。
- 無効化(Revoke):キーを永久無効化し監査ログも残す。今後利用しない場合に最適。 いずれも二重確認が必要です。
「一括接続」との関係
一括接続機能を使い、あるAIツールをゲートウェイ経由に切り替える場合、ゲートウェイはそのツール専用のバーチャルキーを自動作成し、設定ファイルに書き込みます。これら自動生成されたキーも、キー管理ページで手動管理可能です。
よくある質問(FAQ)
- Q:平文バーチャルキーをコピーし忘れた場合?
- A:平文の再表示はできません。「ローテーション」を実行し、新たなキーでアプリ設定を更新してください。
- Q:無効化と削除の違いは?
- A:無効化は監査などの記録を残すが、削除は記録ごと完全消去。いずれも即時利用不可です。
- Q:「許可モデル」を制限した状態で、他モデルへリクエストした場合は?
- A:権限外のモデルの場合、ゲートウェイがリクエストを拒否します。必要なモデルが許可リストに含まれるようご注意ください。
- Q:レート制限に達した場合はどうなりますか?
- A:RPM/TPM/RPD/TPDを超えたリクエストはゲートウェイで抑制されます。統計ページから利用状況を参照し、必要に応じて上限を調整してください。
まとめ
バーチャルキーを使うことで、最小権限・容易な無効化でAI機能をアプリ/ツールに安全に配布できます。利用可能モデル/チャネルやレート制限と組みわせ、利用シーンごとに認証情報を最適設計でき、必要に応じ迅速にローテーション・無効化も対応できます。本物ベンダーAPIキーは安全に管理したままでOKです。
