在ModelArts Studio（MaaS）管理API Key

操作场景

在使用MaaS时，用户经常需要通过API接口调用模型服务进行数据请求和模型推理等操作。然而，如果API Key管理不当（如密钥丢失或泄露），可能导致未经授权的访问风险，从而影响服务的安全性和稳定性。如何确保API Key的安全管理，防止未授权访问？为了解决这个问题，MaaS平台提供了API Key管理功能，支持对API Key进行创建、编辑、权限管理等操作，确保只有具备有效API Key的用户才能成功调用模型服务，且只有具备相应权限的用户才能管理API Key，同时减少密钥长期暴露的风险。本文介绍如何对API Key进行创建、编辑和删除等操作。

约束限制

• 数量限制：每个账户最多可同时存在30个有效API Key，超出后需要删除旧API Key才能新建。
• 不可找回：新建API Key后需立即保存，系统不会存储明文，丢失后无法恢复。
• 鉴权时效：删除API Key后，基于该Key的接口调用将立即失效。

前提条件

具有API Key操作权限。关于IAM子用户的API Key权限管理，请参见管理子用户的API Key操作权限。

创建API Key

最多可创建30个API Key。API Key仅会在新建后显示一次，请及时复制并妥善保存。如果密钥丢失，请新建API Key。

1. 登录ModelArts Studio（MaaS）控制台，在顶部导航栏中选择目标区域。
2. 在左侧导航栏，单击“API Key管理”。
3. 在“API Key管理”页面，单击“创建API Key”，配置基础信息和权限设置，单击“创建”。

   标签在创建完成后，不支持修改。

   表1 创建API Key参数说明

   参数		说明
   基础信息	标签	自定义API Key的标签。标签具有唯一性，不可重复。仅支持大小写英文字母、数字、下划线、中划线，长度范围为1~100个字符。
   	描述	自定义API Key的描述，长度范围为1~100个字符。
   权限设置	权限范围	支持选择“全部（访问所有资源不受限）”或“自定义（指定访问资源范围）”。默认为“全部（访问所有资源不受限）”。
   	IP 调用白名单	当“权限范围”选择“自定义（指定访问资源范围）”时，可配置此参数。 开启后，仅白名单中的IP地址可调用模型服务。支持IPv4网段，输入后按Enter生效，支持输入100个地址。IPv4格式示例： 192.168.1.1 192.168.1.10-192.168.1.100 192.168.10.0/24 图1 IP调用白名单
   	模型服务访问范围	当“权限范围”选择“自定义（指定访问资源范围）”时，可配置此参数。 支持选择“预置服务”或“自定义接入点”。 预置服务：使用该API Key通过model参数发起调用时，仅支持访问已勾选的模型及版本。默认“全选”，即选择全部预置服务及版本，包括后续新增预置服务及版本，您也可以按需选择。 自定义接入点：默认“全选”，即选择全部自定义接入点，包括后续新增自定义接入点，您也可以按需选择。关于如何创建自定义接入点，请参见在ModelArts Studio（MaaS）中创建自定义接入点。

4. 在“您的API Key”对话框，仔细阅读提示信息，复制密钥并保存至安全位置，然后单击“我已保存，确认关闭”。
   图2 保存API Key
   

   关闭后将无法再次查看密钥。创建成功后，在“API Key管理”页面，可以看到新建的API Key，默认显示API Key的前四位和后四位。

   图3 API Key
   

编辑API Key

API Key创建后，不支持修改标签，其他配置可按需修改。修改权限可能导致当前部分模型服务、自定义接入点等鉴权失败，请确认业务影响后再操作。

1. 登录ModelArts Studio（MaaS）控制台，在顶部导航栏中选择目标区域。
2. 在左侧导航栏，单击“API Key管理”。
3. 在目标API Key的“操作”列，单击“编辑”。
4. 在“编辑API Key”对话框，按需修改基础信息和权限设置，然后单击“确定”。

   参数说明请参见表1。

5. 在“确定编辑API Key”对话框，输入YES，单击“确定”。

   API Key修改后，预计五分钟后生效。

管理子用户的API Key操作权限

当管理员未配置IAM子用户的API Key操作权限时，MaaS将按照ModelArts控制台的“严格授权模式”开关，判断子用户是否具有API Key的管理权限。

查看或修改“严格授权模式”开关的步骤如下：

1. 管理员登录ModelArts管理控制台，按照版本选择以下操作。
   • 新版本：在左侧导航栏选择“系统管理 > 权限管理”。
   • 旧版本：在左侧导航栏选择“全局配置”。
2. 在页面中按需打开或关闭“严格授权模式”。
   • 打开严格授权模式：未配置API Key操作权限的IAM子用户，不具有API Key的管理权限。关于配置IAM子用户的API Key操作权限的步骤，请参见下文。
   • 关闭严格授权模式：未配置API Key操作权限的IAM子用户，具有API Key的管理权限。
   图4 严格授权模式开关
   

当管理员通过IAM控制台配置IAM子用户的API Key操作权限时，MaaS将按照管理员的权限配置和ModelArts控制台的“严格授权模式”开关，判断子用户是否具有API Key的管理权限。

配置IAM子用户的API Key操作权限的步骤如下：

1. 创建自定义策略。
   1. 管理员登录IAM管理控制台，在左侧导航栏选择“权限管理 > 权限”。
   2. 在“权限”页面右上角，单击“创建自定义策略”。
   3. 在“创建自定义策略”页面，参照下表配置相关信息，单击“确定”。

      表2 创建自定义策略参数说明

      参数	说明
      策略名称	自定义策略名称。只能包含大小写字母、中文、数字、空格或特殊字符(-_.,)。
      策略配置方式	单击“可视化视图”。
      策略内容	为IAM子用户配置ModelArts服务的API Key权限。 选择“允许”或“拒绝”。 “允许”：允许拥有云服务的操作权限。 “拒绝”：不允许拥有云服务的操作权限。 选择云服务，在搜索框输入ModelArts，选择“ModelArts服务 (ModelArts)”。 图5 云服务配置 选择操作，在搜索框输入apikey，按需为IAM子用户选择API Key的操作权限。 “modelarts:apikey:delete”：选中后，IAM子用户可以删除API Key。 “modelarts:apikey:create”：选中后，IAM子用户可以创建或编辑API Key。 图6 操作配置
      策略描述	自定义策略描述。
      作用范围	默认为项目级服务。

2. 为用户组添加自定义策略。

   如果您需要新建用户组，请参见创建用户组并授权。

   1. 管理员登录IAM管理控制台，在左侧导航栏选择“用户组”。
   2. 在“用户组”页面，在目标用户组的操作列单击“授权”。
      图7 授权用户组
      
   3. 在“授权”页面，选中步骤1创建的策略名称，单击“下一步”，按需选择授权范围方案，单击“确定”。
      图8 授权页面
      
3. 将IAM子用户加入用户组。

   如果您需要新建IAM子用户，请参见创建IAM用户并登录。

   1. 管理员登录IAM管理控制台，在左侧导航栏选择“用户组”。
   2. 在“用户组”页面，在步骤2修改的用户组的操作列，单击“用户组管理”。
   3. 在“用户组管理”对话框，选择目标IAM子用户，单击“确定”。

      为IAM子用户授权后，IAM子用户在MaaS控制台的“API Key管理”页面，可以使用步骤1选择的操作权限。

删除API Key

当API Key数量达到上限，或者API Key发生泄露、遗忘等情况时，建议您及时删除不再使用的API Key。删除后该API Key将无法使用且无法找回，请谨慎操作。

1. 登录ModelArts Studio（MaaS）控制台，在顶部导航栏中选择目标区域。
2. 在左侧导航栏，单击“API Key管理”。
3. 在“API Key管理”页面右侧，单击API Key右侧的“删除”。
4. 在“删除API Key”对话框，单击“确定”。

常见问题

1. 创建API Key后需要等待多久才能生效？

   API Key在创建后不会立即生效，通常需要等待几分钟才能生效。

2. API Key是否支持跨区域使用？

   API Key是区域级别的，不支持跨区域使用。例如，贵阳一区域的API Key必须通过贵阳一控制台创建，且仅能在该区域内调用服务。其他区域的API Key同理。

相关文档

• 您可以使用已创建的API Key，在调用MaaS部署的模型服务时进行鉴权认证。具体操作，请参见调用ModelArts Studio（MaaS）部署的模型服务。
• MaaS提供了基于MaaS DeepSeek API和Dify、Cherry Studio等第三方平台实现AI相关应用的最佳实践，帮助您快速实现AI应用落地。具体操作，请参见使用ModelArts Studio（MaaS） DeepSeek API搭建AI应用。