Zum Inhalt springen
AI Systems Manager

Master-Tokens und Feature-Tokens

Der Bereich Master-Tokens (Sidebar Master-Tokens, Pfad /settings/master-tokens) verwaltet die Provider-Zugangsdaten der Plattform an einer zentralen Stelle. Hier werden die API-Keys der Provider (LLM-Anbieter wie OpenAI oder Anthropic) verschlüsselt hinterlegt, einmalig angezeigt, rotiert und widerrufen.

Verwalten dürfen den Bereich nur die Rollen platform_engineer und admin. Die Rolle compliance_officer hat ausschließlich Lesezugriff: die Liste ist sichtbar, die Aktionen zum Anlegen, Rotieren und Widerrufen sind ausgeblendet. Welche Aktionen jemand sieht, steuert die Oberfläche; die Durchsetzung passiert im Backend.

Master-Token gegen Feature-Token

Abschnitt betitelt „Master-Token gegen Feature-Token“

Beide Begriffe klingen ähnlich, bezeichnen aber unterschiedliche Dinge:

BegriffWas es istWer es nutzt
Master-TokenDer zentrale Zugang zu einem Provider. Enthält den eigentlichen Provider-API-Key, verschlüsselt gespeichert.Die Plattform, zur Verbindung mit dem Provider.
Feature-TokenEin vom Master-Token abgeleitetes, eng begrenztes Token für genau ein Feature.Das SDK, um beim Aufruf eines Features die Inferenz auszuführen.

Kurz: Ein Master-Token ist der Schlüssel zum Provider, ein Feature-Token ist der davon abgeleitete Schlüssel, den ein einzelnes AI-Feature über das SDK benutzt. Feature-Tokens werden automatisch erzeugt; sie werden weiter unten erklärt.

Master-Token anlegen

Abschnitt betitelt „Master-Token anlegen“
  1. Öffne den Bereich Master-Tokens in der Sidebar.
  2. Klicke auf Master-Token anlegen. Der Dialog Master-Token anlegen öffnet sich.
  3. Trage einen Namen ein, wähle den Provider und gib den API-Key (Klartext) ein. Das Auge-Symbol blendet den Klartext kurz ein oder aus.
  4. Optional: Setze unter Läuft ab am (optional) ein Ablaufdatum (mindestens einen Tag, höchstens fünf Jahre in der Zukunft).
  5. Das Feld Credential-Shape steht fest auf bearer und ist nicht änderbar.
  6. Klicke auf Anlegen. Vor dem Speichern verlangt die Plattform eine MFA-Bestätigung (Multi-Faktor-Authentifizierung).

Der API-Key wird verschlüsselt abgelegt; die Plattform speichert dauerhaft nur einen Hash, nicht den Klartext.

Einmaliges Anzeigen (Reveal)

Abschnitt betitelt „Einmaliges Anzeigen (Reveal)“

Direkt nach dem Anlegen, und später über die Aktion Reveal in der Liste, lässt sich der Klartext eines Master-Tokens noch einmal sichtbar machen. Das geschieht streng kontrolliert:

  1. Klicke in der Tokenzeile auf Reveal. Der Dialog Master-Token enthüllen öffnet sich; ein Grund (optional) kann erfasst werden.
  2. Bestätige mit Reveal. Es folgt eine MFA-Bestätigung.
  3. Der Klartext erscheint im Fenster Master-Token wird EINMALIG im Klartext angezeigt. Über Token kopieren wandert er in die Zwischenablage.
  4. Schließe das Fenster nur über Verstanden, Token notiert. Es lässt sich nicht per Escape-Taste oder Klick daneben schließen.

Nach dem Schließen ist der Klartext nicht mehr abrufbar. Wird er erneut benötigt, ist ein neuer Reveal nötig. Jeder Reveal wird im Protokoll festgehalten (siehe Sidebar-Bereich Audit).

Rotieren

Abschnitt betitelt „Rotieren“

Beim Rotieren wird ein neuer Provider-API-Key hinterlegt; der alte wird sofort ungültig.

  1. Klicke in der Tokenzeile auf Rotate. Der Dialog Master-Token rotieren öffnet sich.
  2. Trage unter Neuer API-Key den neuen Schlüssel ein und gib einen Grund an (Pflichtfeld).
  3. Bestätige mit Rotieren und der folgenden MFA-Abfrage.

Gekoppelte Provider-Konfigurationen nutzen den neuen Key beim nächsten SDK-Aufruf automatisch.

Widerrufen

Abschnitt betitelt „Widerrufen“

Das Widerrufen deaktiviert einen Master-Token endgültig und löscht den verschlüsselten Eintrag.

  1. Klicke in der Tokenzeile auf Revoke. Der Dialog Master-Token widerrufen öffnet sich.
  2. Der Dialog zeigt, welche Provider-Konfigurationen ihren Zugriff verlieren.
  3. Tippe zur Bestätigung den Token-Namen ein und gib einen Grund an (beide Pflicht).
  4. Bestätige mit Revoke und der folgenden MFA-Abfrage.

Gekoppelte Provider-Konfigurationen verlieren danach ihren API-Zugriff. Mehr dazu unter Provider und Modelle.

Feature-Tokens nachvollziehen

Abschnitt betitelt „Feature-Tokens nachvollziehen“

Feature-Tokens werden nicht von Hand angelegt. Sie entstehen automatisch (“gemintet”), sobald ein Feature einen Provider zur Inferenz nutzt; pro Feature ein Token, das gegen einen Master-Token signiert ist. Die Plattform führt sie an zwei Stellen auf:

  • Im Abschnitt Geminte Feature-Tokens auf der Master-Token-Liste als providerübergreifende Gesamtübersicht mit Spalten Feature, Provider, Status, Token (maskiert) und Erstellt.
  • Auf der Detailseite eines einzelnen Master-Tokens (Tokenzeile anklicken). Je nach Provider erscheint dort entweder ein Token-Pool oder der Abschnitt Auto-gemintte Feature-Tokens mit den abgeleiteten Tokens und einem Verweis zum Cost-Dashboard.

Bezug zur Missbrauchserkennung

Abschnitt betitelt „Bezug zur Missbrauchserkennung“

Die Kosten- und Nutzungsdaten je Feature-Token meldet das SDK über Telemetrie zurück. Die Plattform gleicht diese gemeldete Nutzung mit der tatsächlichen Abrechnung des Providers ab. Weicht die tatsächliche Nutzung deutlich von der gemeldeten ab, gilt das als Auffälligkeit; je nach hinterlegter Richtlinie kann das betroffene Feature-Token automatisch rotiert oder gesperrt werden. So bleibt nachvollziehbar, welches Feature welchen Master-Token in welchem Umfang beansprucht.

Sicherheit im Überblick

Abschnitt betitelt „Sicherheit im Überblick“
  • MFA-Pflicht: Anlegen, Reveal, Rotieren und Widerrufen verlangen jeweils eine MFA-Bestätigung.
  • Einmaliges Anzeigen: Der Klartext erscheint nur ein einziges Mal je Reveal; danach hilft nur ein erneuter Reveal.
  • Niemals teilen: Ein Master-Token gehört ausschließlich in einen Passwort-Manager oder Vault, nie in Chat, Ticket oder Code.
  • Vollständiges Protokoll: Jede Aktion landet im übergreifenden Protokoll unter Audit.

Wie ein Feature-Token im SDK eingesetzt wird, beschreibt SDK einrichten.