Monago logo
EN
documentation

Panduan

BYOK

Bring Your Own Key — manajemen kredensial penyedia AI di Monago.

Overview

BYOK adalah model arsitektur Monago di mana pelanggan menggunakan kontrak penyedia AI yang dimilikinya sendiri (OpenAI, Anthropic, AWS Bedrock). Monago beroperasi sebagai governance gateway di atas kontrak tersebut. Konsumsi token ditagih langsung oleh penyedia kepada pelanggan; Monago menggunakan model berlangganan terpisah untuk lapisan governance dan audit.

Relevansi BYOK untuk organisasi yang teregulasi:

  • Kepemilikan kontrak penyedia — organisasi tetap menjadi pemilik akun penyedia AI dan memiliki kendali penuh atas data processing chain.
  • Audit trail end-to-end — visibilitas billing dan model usage berada di dashboard penyedia, sementara governance dan decision logging berada di Monago.
  • Minim vendor lock-in — kunci API menjadi aset pelanggan; perpindahan gateway hanya membutuhkan migrasi metadata.
  • Transparansi biaya — tidak ada lapisan margin pada token usage.

Audiens halaman ini: administrator tenant yang mengelola kredensial AI.

Concepts

TermDefinisi
Tenant credentialSatu entri kredensial yang menyimpan kunci API terenkripsi untuk satu penyedia.
Provider typePenyedia AI yang didukung Monago: OpenAI, Anthropic, AWS Bedrock.
Credential nameLabel internal yang dipilih administrator (misalnya production-openai). Unik per kombinasi tenant + penyedia.
Last 4 charsEmpat karakter terakhir kunci API untuk tampilan masking pada UI.
Show-oncePlaintext kunci hanya ditampilkan satu kali pada saat pembuatan atau rotasi kredensial.
Fallback defaultKunci default platform yang digunakan bila tenant tidak memiliki kredensial aktif (deployment cloud).
StatusLifecycle state kredensial: aktif, dinonaktifkan, atau dicabut.

Setup

Prasyarat

  • Peran admin di tenant.
  • Akses ke menu Penyedia AI.
  • Plaintext kunci API dari dashboard penyedia AI; lihat BYOK guide untuk panduan acquisition.
  • Password manager atau secret vault internal untuk menyimpan plaintext setelah dialog tampil-sekali.

Langkah konfigurasi

Login sebagai administrator tenant

Login ke dashboard Monago.

Buka Penyedia AI

Pilih Penyedia AI dari sidebar.

Tambah penyedia

Klik Tambah penyedia di kanan atas.

Pilih dan isi formulir

Pilih provider type; isi nama kredensial, plaintext kunci API, dan base URL opsional.

Submit

Klik Tambah kredensial.

Monago memvalidasi kunci dengan permintaan ke endpoint metadata penyedia. Setelah validasi berhasil, kunci dienkripsi at-rest dengan mekanisme kriptografi standar industri sebelum disimpan.

Dialog tampil-sekali

Setelah validasi berhasil, dialog tampil-sekali (show-once) menampilkan plaintext kunci. Salin, tempelkan ke password manager, konfirmasi, dan tutup dialog. Setelah dialog ditutup, plaintext tidak lagi tersedia melalui product workflow — pemulihan akses dilakukan dengan melakukan rotasi kredensial.

Usage

Daftar kredensial aktif

Tab Penyedia AI menampilkan tabel kredensial dengan kolom: nama, penyedia, tampilan kunci (masked), status, tanggal dibuat, dan aksi. Filter chip di atas tabel: penyedia dan status.

Rotasi kunci

Skenario yang membutuhkan rotasi:

  • Compliance policy organisasi Anda.
  • Indikasi kemungkinan kunci kompromis.
  • Pencabutan kunci dari sisi penyedia.

Buat kunci baru

Dari dashboard penyedia.

Rotasi di Monago

Aksi row → Rotasi kunci.

Tempelkan plaintext baru

Submit untuk validasi.

Dialog tampil-sekali

Salin, konfirmasi, dan tutup.

Tip

Workflow yang direkomendasikan: rotasi di Monago terlebih dahulu, beri jeda satu hari penuh, kemudian cabut kunci lama dari dashboard penyedia.

Menonaktifkan sementara

Menghentikan penggunaan kredensial tanpa mencabutnya secara permanen. Saat dinonaktifkan:

  • Cloud: gateway menggunakan kunci default platform bila administrator deployment telah mengonfigurasinya.
  • On-premise: gateway mengembalikan error konfigurasi karena tidak ada fallback.

Mencabut kredensial

Aksi permanen. Konfirmasi membutuhkan input nama kredensial persis (case-sensitive). Setiap pencabutan kredensial dicatat di audit log dengan pengguna pelaku, timestamp, dan empat karakter terakhir kunci.

Compliance mapping

Detail mapping per-clause dan evidence package disampaikan dalam dokumen procurement terpisah — hubungi support@monago.io.

Troubleshooting

"Kunci API tidak valid"

Penyebab umum: whitespace pada plaintext, kunci kadaluarsa, billing penyedia tidak aktif, scope kunci tidak mencakup endpoint metadata, atau base URL tidak tepat. Pesan respons dari penyedia ditampilkan pada baris "Detail penyedia:" di bawah error utama.

"Nama kredensial sudah digunakan"

Gunakan suffix versioning, misalnya production-openai-v2.

"Kredensial penyedia AI tidak ditemukan"

Kredensial kemungkinan telah dicabut oleh administrator lain. Refresh halaman untuk memuat state terbaru.

Permintaan gateway gagal setelah kredensial dinonaktifkan

Perilaku yang diharapkan. Gateway akan mencoba menggunakan kunci default platform. Aktifkan kembali kredensial atau konfigurasikan kunci default melalui administrator deployment.

Validation timeout

Endpoint metadata penyedia kadang lambat. Coba ulang permintaan; transient error umum terjadi.

FAQ

Apakah tim Monago dapat melihat plaintext kunci API saya?

Tidak. Plaintext dienkripsi at-rest dan didekripsi hanya selama durasi pemrosesan permintaan inference.

Apakah audit log mencatat plaintext kunci?

Tidak. Audit log mencatat metadata kredensial: penyedia, nama, empat karakter terakhir kunci, dan perubahan field-level. Larangan penulisan plaintext ke audit log ditegakkan oleh regression test otomatis pada setiap rilis.

Plaintext hilang setelah dialog tampil-sekali ditutup. Bagaimana memulihkannya?

Buat kunci baru dari dashboard penyedia, lalu lakukan rotasi di Monago. Kunci lama otomatis digantikan.

Bisakah beberapa administrator mengelola kredensial?

Ya. Seluruh pengguna dengan peran admin pada tenant dapat melihat, membuat, melakukan rotasi, dan mencabut kredensial. Audit log mencatat pengguna yang melakukan setiap aksi.

Apakah ada batas jumlah kredensial per tenant?

Tidak ada hard limit pada pilot. Rekomendasi: 1 hingga 3 kredensial per penyedia. Apabila terdapat lebih dari satu kredensial aktif untuk satu penyedia, gateway menggunakan yang paling baru.

Apakah deployment on-premise dapat menggunakan BYOK?

Ya. Flow UI identik. Perbedaan: peran super_admin tidak tersedia, fallback default key bersifat opsional, dan KMS encryption dikelola oleh pelanggan.

Bagaimana cara melakukan rotasi tanpa downtime?

Rotasi di Monago bersifat atomik — permintaan berikutnya akan menggunakan kunci baru tanpa downtime. Beri jeda satu hari penuh sebelum mencabut kunci lama dari sisi penyedia.

Related

  • Quickstart — setup tiga langkah untuk tim integrasi.
  • BYOK guide — acquisition, setup, dan rotasi lengkap.
  • Workspaces — isolasi multi-environment.
  • Compliance — framework readiness dan evidence.