Cyberun 签发三种凭证。每一种都有不同的前缀、不同的预期用途和不同的作用域。它们都在 Cloud 的 Access 页面中(侧边栏 → Access)。Documentation Index
Fetch the complete documentation index at: https://docs.cyberun.cloud/llms.txt
Use this file to discover all available pages before exploring further.
| 类别 | 前缀 | 谁可以创建 | 作用域 | 用途 |
|---|---|---|---|---|
| 集成凭证 | sk- | 任意团队成员 | 整个团队 | 脚本、CI、MCP 客户端、合作伙伴集成。 |
| 代理凭证 | ak- | 任意团队成员 | 整个团队 | 代理安装程序和长时间运行的代理进程。 |
| 设备凭证 | dk- | Cyberun CLI 登录 | 用户绑定,团队作用域内 | 通过 Cyberun CLI 配对的设备(以及第三方工具)。 |
集成凭证(sk-)
通用 API 密钥。用于:
- 调用 Runtime API(
/r/...)的自定义脚本。 - 提交任务的 CI 流水线。
- 连接平台 Web MCP 端点
/api/v1/mcp的 MCP 客户端(Claude Code、Cursor)。 - 需要读取或写入团队资源的合作伙伴集成。
Authorization 请求头中传入密钥:
代理凭证(ak-)
用于代理安装程序把 GPU 机器注册到团队,以及长时间运行的代理进程维持与网关的 WebSocket 连接。演练参见连接代理。
使用 Cyberun CLI 登录时也会自动创建一个这样的凭证:一个与新设备凭证关联的配套代理,让该设备无需单独的密钥即可运行工作流。它与设备绑定——撤销设备凭证会一并撤销其配套代理凭证。参见 Cyberun CLI。
这些密钥仅限于代理运行时协议。它们不能读取团队控制台、不能管理工作流,也不能代表某个成员提交任务。被盗的 ak- 密钥只能注册一个假的代理——但即便如此也不应该发生,所以一旦泄露请尽快撤销。
设备凭证(dk-)
通过设备配对签发。当你使用 Cyberun CLI 登录时,它会打印一个配对码并打开你的浏览器;在 Cloud 侧确认后会签发一个 dk- 凭证,绑定到你在当前激活团队中的用户身份,同时还会签发一个配套代理凭证,让该设备能够运行工作流。
每个成员都能在 Access → Device 看到自己的设备凭证并撤销其中任意一个——这对撤销被盗笔记本很有用。撤销设备凭证也会一并撤销其配套代理,一个操作即可彻底断开该设备。团队管理员也可以撤销其他成员的设备凭证。
最佳实践
- 每个集成一个凭证。 不要在三个 CI 流水线之间共用一把密钥。撤销其中一个不应该影响其它。
- 凭证按描述命名。 用
ci-prod-image-build、claude-code-personal,不要用key1、test。 - 成员离开时及时撤销。 当有人离开团队时,在移除其成员资格之前先撤销他签发的集成凭证。移除成员资格不会撤销他签发的密钥。
- 不要把密钥粘到共享笔记里。 如果必须共享,使用密码保险库。控制台只在创建时显示完整密钥——把那当作唯一一次机会。
- 定期轮换。 长时间存在的密钥风险敞口会累积。签发新密钥、把集成切过去、再撤销旧的。
过期
每个凭证在创建时可以设置 1–365 天的有效期,或永不过期。过期凭证的行为与已撤销相同——下一次请求会返回401。
相关
- 生成 API 密钥 ——
sk-的演练。 - 连接代理 ——
ak-的演练。 - Cyberun CLI —— 登录以配对设备并签发
dk-。 - 通过 MCP 连接 ——拿到
sk-后能做什么。