Zum Hauptinhalt springen

API-Schlüsselverwaltung

API-Schlüssel ermöglichen programmatischen Zugriff auf die itellicoAI-Plattform, sodass du Agenten in deine Anwendungen integrieren, Aufgaben automatisieren und benutzerdefinierte Workflows erstellen kannst. Sie ergänzen Integrationen, um die Möglichkeiten deiner Agenten zu erweitern.

Was sind API-Schlüssel?

API-Schlüssel sind sichere Token, die deine API-Anfragen authentifizieren, ohne dass Nutzer-Zugangsdaten erforderlich sind. Wesentliche Eigenschaften:
  • Account-gebunden — Jeder Schlüssel gehört zu einem bestimmten Account
  • Berechtigungsbewusst — Anfragen verwenden weiterhin die Account- und Rollenberechtigungen des Schlüsselerstellers
  • Geheim — Behandle ihn wie ein Passwort; niemals weitergeben oder in die Versionsverwaltung einchecken
  • Widerrufbar — Kann jederzeit deaktiviert oder gelöscht werden
  • Nachverfolgbar — Letzten Verwendungszeitstempel und Aktivität überwachen

API-Schlüssel erstellen

1

Zu API-Schlüsseln navigieren

Gehe zu Account → API-Schlüssel
2

API-Schlüssel erstellen klicken

Klicke auf die Schaltfläche API-Schlüssel erstellen
3

Ein Label eingeben

Gib deinem Schlüssel einen aussagekräftigen Namen, z. B.:
  • „Produktionsserver”
  • „Entwicklungsumgebung”
  • „Automatisierungssystem”
  • „Mobile App – iOS”
4

Ablaufdatum festlegen (optional)

Lege optional ein Ablaufdatum für die automatische Schlüsselrotation fest
5

Schlüssel kopieren

Der vollständige Schlüssel wird nur einmal angezeigt. Kopiere ihn sofort und speichere ihn sicher.
Der vollständige API-Schlüssel wird nur einmal bei der Erstellung angezeigt. Wenn du ihn verlierst, musst du einen neuen Schlüssel erstellen.

API-Schlüssel verwenden

Authentifizierungs-Header

Füge deinen API-Schlüssel im X-API-Key-Header ein: 
curl https://api.itellico.ai/v1/accounts/current \
  -H "X-API-Key: sk-a1b2c3d4.xyz789..." \
  -H "Content-Type: application/json"

Account-Kontext

API-Schlüssel sind auf ihren Account beschränkt. In einem übergeordneten Account erstellte Schlüssel können sowohl auf den übergeordneten Account als auch auf alle Subaccounts zugreifen. 
# Auf übergeordneten Account zugreifen
curl https://api.itellico.ai/v1/accounts/me/agents \
  -H "X-API-Key: sk-a1b2c3d4.xyz789..." \
  -H "Content-Type: application/json"

# Auf bestimmten Subaccount zugreifen
curl https://api.itellico.ai/v1/accounts/{account-id}/agents \
  -H "X-API-Key: sk-a1b2c3d4.xyz789..." \
  -H "Content-Type: application/json"

SDKs

Mit den offiziellen SDKs: 
from itellicoai import Itellicoai

client = Itellicoai(api_key="sk-a1b2c3d4.xyz789...")

# Agenten auflisten
agents = client.agents.list("me")
Speichere API-Schlüssel in Umgebungsvariablen und schreibe sie niemals fest in deinen Quellcode.

API-Schlüssel verwalten

Schlüssel anzeigen

Die API-Schlüssel-Seite zeigt:
SpalteBeschreibung
LabelDein beschreibender Name
TeilschlüsselDie ersten Zeichen zur Identifikation
StatusAktiv, Widerrufen oder Abgelaufen
ErstelltErstellungsdatum des Schlüssels
Zuletzt verwendetWann er zuletzt für eine API-Anfrage verwendet wurde
Läuft abAblaufdatum (sofern festgelegt)
Der vollständige Schlüssel wird nach der Erstellung niemals angezeigt – nur die ersten Zeichen zur Identifikation.

Schlüssel bearbeiten

Du kannst folgendes aktualisieren:
  • Label — Den beschreibenden Namen ändern
  • Ablaufdatum — Ablauf verlängern oder festlegen
Du kannst den Schlüssel-String selbst nicht ändern. Erstelle bei Bedarf einen neuen Schlüssel.

Schlüssel widerrufen

Um einen Schlüssel vorübergehend zu deaktivieren, ohne ihn zu löschen:
  1. Gehe zu Account → API-Schlüssel
  2. Suche den Schlüssel in der Liste
  3. Klicke auf Widerrufen
  4. Der Schlüssel wird sofort deaktiviert
Widerrufene Schlüssel können später reaktiviert werden. Dabei bleiben Audit-Verlauf und Erstellungsmetadaten erhalten.

Schlüssel löschen

Um einen Schlüssel dauerhaft zu entfernen:
  1. Gehe zu Account → API-Schlüssel
  2. Suche den Schlüssel und klicke auf das Menü-Symbol
  3. Wähle Löschen
  4. Bestätige das Löschen
Das Löschen ist dauerhaft und nicht rückgängig zu machen. Der Schlüssel hört sofort auf zu funktionieren.

Schlüsselstatus

StatusBeschreibungAPI-Zugriff
AktivSchlüssel funktioniert normalJa
WiderrufenManuell deaktiviertNein
AbgelaufenAblaufdatum überschrittenNein

Sicherheits-Best-Practices

Wenn du versehentlich einen Schlüssel eingecheckt hast:
  1. Den Schlüssel sofort widerrufen
  2. Einen neuen Schlüssel erstellen
  3. Das Entwicklungsteam bitten, den Schlüssel aus dem Versionsverwaltungsverlauf zu entfernen
  4. Den neuen Schlüssel in deinen Anwendungen deployen
Schreibe API-Schlüssel niemals fest in den Quellcode.
import os
api_key = os.environ['ITELLICOAI_API_KEY']
Füge .env-Dateien zu deiner .gitignore hinzu:
.env
.env.local
*.key
Erstelle separate Schlüssel für Entwicklung, Staging und Produktion. So kannst du einen kompromittierten Schlüssel widerrufen, ohne andere Umgebungen zu beeinflussen.
Empfohlener Rotationsplan:
  • Produktion: alle 90 Tage
  • Staging: alle 180 Tage
  • Entwicklung: jährlich oder bei Teamwechseln
Rotationsablauf:
  1. Neuen Schlüssel erstellen
  2. Anwendung mit dem neuen Schlüssel aktualisieren
  3. Gründlich testen
  4. Alten Schlüssel widerrufen
  5. Alten Schlüssel nach 30 Tagen löschen
Speichere Schlüssel in der Produktion in einem Secrets Manager:
  • AWS Secrets Manager
  • HashiCorp Vault
  • Azure Key Vault
  • Google Secret Manager
  • 1Password oder ähnliche Team-Lösungen
Überprüfe regelmäßig die Zeitstempel unter „Zuletzt verwendet”. Lösche Schlüssel, die mehr als 90 Tage nicht verwendet wurden.

Bei einem kompromittierten Schlüssel

1

Sofort widerrufen

Gehe zu Account → API-Schlüssel und widerrufe den kompromittierten Schlüssel
2

Ersatzschlüssel erstellen

Generiere einen neuen Schlüssel im selben Account mit einem aussagekräftigen Label
3

Anwendungen aktualisieren

Deploye den neuen Schlüssel in alle betroffenen Anwendungen
4

Protokolle prüfen

Überprüfe die Nutzungsprotokolle auf verdächtige Aktivitäten während des Expositionszeitraums
5

Ursache untersuchen

Finde heraus, wie der Schlüssel kompromittiert wurde, und ergreife Maßnahmen zur Vermeidung einer Wiederholung

Fehlerbehebung

Ursachen: Ungültiger Schlüssel, widerrufener oder abgelaufener Schlüssel, fehlender oder fehlerhaft formatierter X-API-Key-Header.Lösungen: Verifiziere, dass der Schlüssel in den Einstellungen aktiv ist. Überprüfe das Header-Format: X-API-Key: sk-.... Stelle sicher, dass keine zusätzlichen Leerzeichen oder Zeichen vorhanden sind.
Ursachen: Der Schlüsselersteller verfügt nicht über die erforderliche Account-Berechtigung, oder der Schlüssel kann nicht auf den angeforderten Account zugreifen.Lösungen: Überprüfe die Account-ID in der URL. Stelle sicher, dass der Schlüssel im richtigen Account erstellt wurde und der Ersteller noch über die erforderliche Rolle für die Operation verfügt.
Ursachen: Rate-Limit überschritten.Lösungen: Implementiere exponentielles Backoff. Antworte nach Möglichkeit aus dem Cache. Verteile Anfragen über die Zeit.

Häufige Fragen

Es gibt keine feste Obergrenze. Empfohlen wird eine überschaubare Anzahl – typischerweise 3–5 Schlüssel für kleine Teams, 10–15 für mittlere Teams.
In einem übergeordneten Account erstellte Schlüssel können auf den übergeordneten Account und alle Subaccounts zugreifen. In einem Subaccount erstellte Schlüssel können nur auf diesen Subaccount zugreifen.
Ja. Jeder Subaccount kann unabhängige API-Schlüssel erstellen, die auf diesen Subaccount beschränkt sind.
Nur wenn du bei der Erstellung ein Ablaufdatum festgelegt hast. Andernfalls bleiben Schlüssel aktiv, bis sie widerrufen oder gelöscht werden.

Nächste Schritte

API-Referenz

Verfügbare API-Endpunkte erkunden

SDKs

Die offiziellen Python- und TypeScript-SDKs verwenden

Integrationen

Drittanbieter-Dienste und Webhooks verbinden