Monago logo
EN
documentation

Panduan

BYOK guide

Panduan self-service untuk mengonfigurasi BYOK (Bring Your Own Key) penyedia AI di Monago.

Panduan lengkap bagi administrator tenant yang mengelola kredensial penyedia AI di Monago Governance Gateway.

Audiens

Administrator tenant yang mengelola kredensial AI di Monago. Prasyarat: akses peran admin pada tenant dan akun aktif di penyedia AI yang akan diintegrasikan.

1. Overview

Monago menerapkan model BYOK (Bring Your Own Key) — pelanggan membawa kunci API penyedia AI sendiri (OpenAI, Anthropic, AWS Bedrock). Monago beroperasi sebagai governance gateway:

  • Menerapkan kebijakan tata kelola pada level tenant, workspace, dan pengguna.
  • Mencatat audit trail integritas-terjamin untuk setiap permintaan.
  • Menyediakan observability, cost analytics, dan compliance posture.

Konsumsi token ditagih langsung oleh penyedia AI kepada pelanggan; Monago menggunakan model berlangganan terpisah untuk lapisan governance dan audit.

2. Prasyarat

  • Akun Monago dengan peran admin.
  • Akses ke menu Penyedia AI.
  • Plaintext kunci API dari penyedia AI Anda (lihat bagian 3).
  • Password manager atau secret vault internal untuk menyimpan plaintext setelah dialog tampil-sekali.

3. Memperoleh kunci API dari penyedia

3.1 OpenAI

Login

Login ke platform.openai.com.

Buka API keys

Settings → API keys.

Buat secret key baru

Klik Create new secret key, beri label internal (misalnya monago-prod), pilih project dan scope.

Salin plaintext

Format sk-proj-… atau sk-….

Simpan sementara

Simpan pada password manager — plaintext akan dimasukkan ke Monago pada Langkah 4.

Tip

Gunakan project key dengan scope minimum yang dibutuhkan (misalnya model.read + chat.completions:write). Hindari penggunaan kunci tanpa scope (root scope) di environment production.

3.2 Anthropic

Login

Login ke console.anthropic.com.

Buka API keys

Settings → API keys.

Buat kunci

Klik Create Key dan beri label internal (misalnya monago-prod-anthropic).

Salin plaintext

Format sk-ant-….

3.3 AWS Bedrock

Status integrasi

Kredensial AWS Bedrock dapat didaftarkan saat ini, namun pemrosesan permintaan inference melalui Bedrock akan tersedia di rilis berikutnya. Hubungi tim Monago untuk diskusi timeline bila Bedrock menjadi penyedia utama Anda.

AWS Console

Login ke AWS Console.

Buat access key

IAM → Users → Create access key.

Permission minimum

bedrock:InvokeModel dan bedrock:InvokeModelWithResponseStream.

Catat kredensial

Simpan Access Key ID dan Secret Access Key.

Catat region

Misalnya Singapore ap-southeast-1.

4. Konfigurasi di Monago

4.1 Buka Penyedia AI

Login

Login ke dashboard Monago.

Buka menu

Pilih Penyedia AI dari sidebar.

4.2 Tambah kredensial

Tambah penyedia

Klik Tambah penyedia di kanan atas.

Pilih penyedia

OpenAI, Anthropic, atau AWS Bedrock.

Beri nama kredensial

Label internal Anda, misalnya production-openai, staging-anthropic, atau treasury-bedrock.

Tempelkan kunci

Tempelkan plaintext kunci API.

Base URL (opsional)

Override endpoint bila penyedia Anda berada di belakang custom gateway.

Submit

Klik Tambah kredensial.

Monago memvalidasi kunci terhadap endpoint metadata penyedia dengan batas waktu singkat. Indikator "Memvalidasi kunci…" ditampilkan selama proses berlangsung.

4.3 Dialog tampil-sekali (penting)

Setelah validasi berhasil, dialog tampil-sekali (show-once) terbuka.

Plaintext ditampilkan sekali

Banner peringatan menjelaskan bahwa kunci hanya ditampilkan pada saat ini dan tidak dapat ditampilkan kembali melalui product workflow.

Salin

Klik Salin; indikator Tersalin muncul sesaat.

Tempelkan ke vault

Tempelkan plaintext ke password manager atau secret vault internal Anda.

Konfirmasi

Centang konfirmasi "Saya sudah menyalin kunci API."

Tutup

Klik Sudah disimpan, tutup.

Warning

Setelah dialog ditutup, plaintext tidak lagi tersedia melalui product workflow. Pemulihan akses dilakukan dengan melakukan rotasi kredensial. Tabel hanya menampilkan empat karakter terakhir kunci (sk-…-XXXX).

5. Mengelola kredensial

5.1 Daftar kredensial

Tab Penyedia AI menampilkan tabel kredensial dengan kolom: nama, penyedia, tampilan kunci (masked), status, tanggal dibuat, dan aksi. Filter chip di atas tabel memungkinkan penyaringan berdasarkan penyedia dan status.

5.2 Menonaktifkan sementara

Untuk menghentikan penggunaan kredensial tanpa mencabutnya secara permanen.

Buka aksi row

Klik tombol aksi pada baris kredensial.

Pilih Nonaktifkan

Status berubah menjadi Dinonaktifkan.

Saat kredensial dinonaktifkan, permintaan yang diterima gateway akan:

  • Cloud: menggunakan kunci default platform bila administrator deployment telah mengonfigurasinya.
  • On-premise: dikembalikan dengan error konfigurasi karena tidak ada fallback.

Aktivasi ulang: aksi row → Aktifkan.

5.3 Rotasi kunci

Skenario yang membutuhkan rotasi:

  • Compliance policy organisasi Anda (rotasi berkala).
  • Indikasi kemungkinan kunci kompromis.
  • Pencabutan kunci dari sisi penyedia.

Buat kunci baru

Buat API key baru dari dashboard penyedia.

Pilih Rotasi kunci

Aksi row → Rotasi kunci.

Tempelkan plaintext baru

Submit untuk validasi.

Dialog tampil-sekali

Salin, konfirmasi, dan tutup.

Kunci lama digantikan oleh kunci baru; gateway segera menggunakan kunci baru pada permintaan berikutnya.

Tip

Workflow yang direkomendasikan: lakukan rotasi di Monago terlebih dahulu, tunggu satu hari penuh untuk memastikan tidak ada permintaan in-flight yang masih menggunakan kunci lama, kemudian cabut kunci lama dari dashboard penyedia.

5.4 Mencabut kredensial

Aksi permanen — kredensial tercabut sementara audit trail tetap dipertahankan.

Buka aksi row

Pilih Cabut.

Konfirmasi nama

Ketik nama kredensial persis (case-sensitive).

Submit

Klik Cabut kredensial.

Status berubah menjadi Dicabut. Kredensial yang tercabut tidak dapat diaktifkan kembali — apabila dibutuhkan, buat kredensial baru.

6. Troubleshooting

"Kunci API tidak valid"

Penyebab umum:

  • Whitespace pada saat copy-paste (spasi atau newline di awal atau akhir).
  • Kunci kadaluarsa atau telah dicabut di dashboard penyedia.
  • Status billing akun penyedia tidak aktif.
  • Scope kunci tidak memiliki permission untuk endpoint metadata.
  • Base URL tidak benar bila menggunakan custom endpoint.

Pesan respons dari penyedia ditampilkan pada baris "Detail penyedia:" di bawah error utama untuk membantu diagnosis.

"Nama kredensial sudah digunakan untuk penyedia ini"

Setiap kombinasi tenant + penyedia membutuhkan nama unik. Gunakan suffix versioning, misalnya production-openai-v2.

"Kredensial penyedia AI tidak ditemukan"

  • Kredensial mungkin telah dicabut oleh administrator lain di tenant Anda.
  • Refresh halaman untuk memuat state terbaru.

Permintaan gateway gagal setelah kredensial dinonaktifkan

Perilaku yang diharapkan. Saat kredensial dinonaktifkan, gateway akan menggunakan kunci default platform bila administrator deployment telah mengonfigurasinya. Bila fallback belum dikonfigurasi (umum pada deployment on-premise), gateway mengembalikan error konfigurasi. Solusi: aktifkan kembali kredensial melalui UI.

Dialog tampil-sekali tidak muncul setelah submit

Penyebab umum:

  • Operasi metadata-only (tanpa rotasi kunci) tidak menghasilkan plaintext baru. Tabel akan menampilkan kredensial dengan tampilan masked.
  • Network error — periksa DevTools console browser.

Validation timeout

Endpoint metadata penyedia kadang mengalami latency tinggi. Coba ulang permintaan; transient error umum terjadi. Bila masalah berlanjut, hubungi support penyedia.

7. FAQ

7.1 Bagaimana kunci API saya dienkripsi?

Monago menerapkan enkripsi at-rest dengan mekanisme kriptografi standar industri. Plaintext hanya didekripsi selama durasi pemrosesan permintaan inference oleh gateway.

Untuk deployment production, Monago mendukung envelope encryption dengan Customer-Controlled Key Management Service (KMS). Tim Monago tidak memiliki kewenangan operasional terhadap KMS pelanggan, sehingga akses ke material kunci membutuhkan otorisasi pelanggan.

Procurement review

Daftar KMS yang divalidasi, baseline kriptografi, dan migration roadmap KMS disampaikan dalam dokumen procurement terpisah — hubungi support@monago.io.

7.2 Apakah tim Monago dapat melihat plaintext API key saya?

Tidak. Plaintext dienkripsi at-rest dan didekripsi hanya selama durasi pemrosesan permintaan inference. Tidak ada product workflow yang menampilkan kembali plaintext setelah dialog tampil-sekali ditutup.

7.3 Apakah audit log mencatat plaintext API key?

Tidak. Audit log mencatat metadata kredensial: penyedia, nama kredensial, empat karakter terakhir kunci, dan perubahan field-level. Larangan penulisan plaintext ke audit log ditegakkan oleh regression test otomatis yang berjalan di setiap rilis.

7.4 Plaintext hilang setelah dialog tampil-sekali ditutup. Bagaimana memulihkannya?

Plaintext tidak dapat dipulihkan melalui Monago. Lakukan rotasi kredensial:

Buat kunci baru

Buat kunci baru dari dashboard penyedia.

Rotasi di Monago

Aksi row → Rotasi kunci.

Cabut kunci lama

Cabut kunci lama dari dashboard penyedia setelah rotasi berhasil.

7.5 Bisakah beberapa administrator mengelola kredensial?

Ya. Seluruh pengguna dengan peran admin pada tenant dapat melihat, membuat, melakukan rotasi, menonaktifkan, dan mencabut kredensial. Audit log mencatat pengguna yang melakukan setiap aksi.

7.6 Apakah ada batas jumlah kredensial per tenant?

Tidak ada hard limit pada pilot. Rekomendasi: 1 hingga 3 kredensial per penyedia (misalnya prod, staging, dev). Apabila terdapat lebih dari satu kredensial aktif untuk satu penyedia, gateway menggunakan kredensial yang paling baru.

7.7 Apakah deployment on-premise dapat menggunakan BYOK?

Ya. Flow UI identik. Perbedaan:

  • Peran super_admin tidak tersedia pada deployment on-premise — admin merupakan otoritas tertinggi.
  • Fallback default key bersifat opsional dan dikonfigurasi oleh administrator deployment.
  • KMS encryption dikelola oleh pelanggan.

7.8 Apa yang terjadi bila tenant saya dihapus?

Penghapusan tenant juga melepaskan dan menghapus seluruh kredensial terkait. Audit log tetap dipertahankan untuk kebutuhan forensik. Konfirmasi melalui support sebelum melakukan operasi destructive.

8. Security best practices

Rotasi berkala

Ikuti compliance policy organisasi Anda untuk cadence rotasi.

Kredensial terpisah per environment

Konvensi penamaan production-*, staging-*, dev-* membantu memisahkan blast radius.

Audit berkala

Tinjau audit log pada tab Observability secara berkala.

Least privilege

Buat kunci di penyedia dengan scope minimum yang dibutuhkan.

Secure storage

Simpan plaintext pada password manager atau secret vault. Hindari penyimpanan pada file plaintext, kanal chat, atau email.

Multi-admin coverage

Pastikan minimal dua administrator mengetahui lokasi penyimpanan kredensial untuk business continuity.

Monitor billing penyedia

Anomali pada billing penyedia dapat mengindikasikan kunci yang kompromis.

Nonaktifkan sebelum mencabut

Pada indikasi awal kunci yang berpotensi kompromis, nonaktifkan kredensial untuk menghentikan penggunaannya, lakukan investigasi, kemudian cabut atau rotasi sesuai temuan.

9. Compliance mapping

Detail mapping per-clause dan evidence package disampaikan dalam dokumen procurement terpisah — hubungi support@monago.io untuk salinan PDF.

10. Support

Email

support@monago.io

Quickstart

Setup tiga langkah untuk tim integrasi.