工作区与团队
按项目隔离密钥、路由、策略与可观测性——支持团队席位,Agent 可在边界内完全自治。
工作区是 BitRouter 的隔离边界。API 密钥、策略和使用数据全部作用于单个工作区。你可以拥有任意数量的工作区——按项目、环境或 Agent 部署各自创建一个即可。
凭证模型:用户级与工作区级
每个凭证在签发时就确定了是用户级(user-scoped)还是工作区级(workspace-scoped),签发后无法更改。
| 用户级 | 工作区级 | |
|---|---|---|
| 载体 | Console 网页会话(你的浏览器) | CLI 会话、API 密钥(brk_)、设备 token |
| 覆盖范围 | 你的所有工作区 + 账号级操作 | 仅限一个工作区 |
| 创建 / 删除工作区 | 是 | 否 |
| 管理账单 | 是 | 只读 |
| 管理工作区内的密钥、策略、用量 | 是 | 是 |
| 调用推理 | 仅限 Playground | 是 |
Console 网页会话是唯一的用户级凭证。没有任何长效的根凭证可跨工作区——这一权限刻意对 CLI 会话和 brk_ 密钥关闭。
登录到工作区
bitrouter auth login 走 OAuth 设备授权流程。浏览器授权页面会让你选择将 CLI 绑定到哪个工作区。生成的凭证被烙入该工作区——此后所有 bitrouter cloud 命令都隐式指向它,无需任何 --workspace 参数。
bitrouter auth login
# 在浏览器中打开以下链接,选择要登录的工作区:
# https://cloud.bitrouter.ai/oauth/device?user_code=ABCD-EFGH查看当前会话绑定到哪个工作区:
bitrouter cloud namespace current # 离线读取本地凭证
bitrouter auth whoami # 同时打印已绑定的工作区若要切换到另一个工作区,重新执行 bitrouter auth login 并在浏览器中选择目标工作区即可,旧凭证会被覆盖。
bitrouter cloud namespace list # 你拥有的所有工作区,当前激活的标有 (active)ns_01jxyz… default (active)
ns_01jabc… production
ns_01jdef… staging完整的 bitrouter cloud 命令列表请参阅 CLI 参考。
Agent 在边界内的完全自治
登录后,CLI 会话(或从中签发的 brk_ API 密钥)在其工作区内拥有完整的操作权:
密钥管理 — 在工作区内创建、列出、撤销 API 密钥。从这里签发的任何密钥同样被烙入该工作区,继承相同边界。
bitrouter cloud keys mint --name my-agent \
--scope "inference:invoke keys:read policy:read usage:read"
bitrouter cloud keys list
bitrouter cloud keys revoke <id>策略管理 — 读写护栏、限速和预设策略绑定。
bitrouter cloud policy list
bitrouter cloud policy bind <policy-id> --principal-type api_key --principal-id <key-id>
bitrouter cloud budget create --name daily-cap --window day --limit-micro-usd 5000000用量查询 — 读取工作区维度的请求历史与消费数据。
bitrouter cloud usage
bitrouter cloud requests --limit 50使用工作区级凭证的 Agent 或 CI 任务无法触及其他工作区、管理账单,也无法签发更宽泛的凭证。爆炸半径被严格限制在工作区内。
bitrouter cloud keys mint 是推荐 Agent 为其工具签发子密钥的方式。签发的密钥与调用方绑定到同一工作区,且无法超出调用方自身的 scope 范围。
管理工作区
首次登录时系统会自动创建一个默认工作区。额外的工作区通过 Console 创建和删除——工作区生命周期属于控制面操作,需要用户级凭证(你的网页会话)。
CLI 仅支持列表操作:
bitrouter cloud namespace list # 你拥有的所有工作区
bitrouter cloud namespace current # 当前会话绑定的工作区(离线)不能删除你的最后一个工作区——BitRouter 要求账号下至少保留一个工作区。
用量报告
工作区维度的请求归因在结算时完成,可通过 CLI 或 Console 查询:
bitrouter cloud usage # 最近 30 天
bitrouter cloud usage --from 2026-05-01T00:00:00Z --to 2026-06-01T00:00:00Z
bitrouter cloud requests --limit 25 # 分页请求日志账号整体消费请参阅账单指南。工作区级消费上限正在规划中。
How is this guide?