すべてのAPIリクエストでは、Authorizationヘッダーで渡されるAPIキーが必要です。
APIキーの使用
すべてのリクエストで、キーをBearerトークンとして含めてください:
curl https://runbase.net/api/v1/runs \
-H "Authorization: Bearer sk-your-key-here" \
-H "Content-Type: application/json" \
-d '{"model": "google/nano-banana-2", "input": {"prompt": "hello"}}'APIキーは常にsk-で始まります。
キーの作成
- ダッシュボードの Settings → API Keys に移動します
- Create Key をクリックします
- キーをすぐにコピーします — 表示されるのは1回だけです
プロジェクトや環境ごとに使用を分けるため、複数のキーを作成できます。
IPホワイトリスト
本番環境で使用する場合、APIキーを特定のIPアドレスに制限できます:
- Settings → API Keys に移動します
- 設定するキーの編集アイコンをクリックします
- 最大 10個のIPアドレス を追加します
登録されていないIPからのリクエストには 403 ip_not_allowed エラーが返されます。
使途上限
予期しない課金を防ぐために、キーごとに生涯の利用上限を設定できます:
- Settings → API Keys に移動します
- キーの編集アイコンをクリックします
- センツ単位で spend limit を設定します
キーの累計利用額が上限に達すると、それ以降のリクエストには 403 api_key_spend_limit_exceeded エラーが返されます。上限はいつでも引き上げられます。
キーの無効化
キーを削除せずに無効化できます。無効化されたキーは、すべてのリクエストで 401 invalid_api_key を返します。再び必要になったら有効化してください。
セキュリティのベストプラクティス
- APIキーをバージョン管理にコミットしない
- キーの保存には環境変数を使う
- 開発用と本番用で別々のキーを作成する
- 本番用キーにはIPホワイトリストを設定する
- 露出を抑えるために使途上限を設定する