管理 API 密鑰

開啟雲端使用 API 鑰匙來驗證和授權 API 存取，這讓您可以為體驗中的特定資源添加粒度權限和安全控制，例如資料儲存和地點。

所有開放雲端 API 需要您創建具有有效權限的 API 鑰匙，並將 x-api-key 標題包含在您的請邀請中，這讓應用程式可以代您在開放雲端上驗證。

創建 API 鍵

您可以為個人擁有的體驗或群組擁有的體驗創建和配置 API 鑰匙(A Roblox 群組允許多個創作者在同一體驗上工作、使用相同的資產並分享 API 鑰匙)。

您必須是群組所有者或被指派到群組內的角色，以創建您群組的 API 鑰匙。群組成員只能使用角色相同的資源存取權限創建 API 鑰匙。例如，只有擁有創建和編輯群組體驗許可的群組成員才能創建一個 API 鑰匙，可以發布一個地點文件。

要創建 API 鑰鍵：

導航到創作者面板。
(可選) 點擊創作者中心下拉選單，選擇一個群組，如果您正在創建API鑰匙給一個群組。
在左側導航選單中，選擇開啟雲端 → API 鑰匙。
按一下創建 API 鑰匙按鈕。
輸入您 API 鑰鍵的獨特名稱。使用可以幫助您稍後記住目的的名稱，例如 PLACE_PUBLISHING_KEY 用於發布地點到您的體驗。
在存取權限部分中，從選擇 API 系統選單中選擇 API，然後點擊添加 API 系統按鈕。如果需要將多個 API 添加到鑰鍵，請重複此步驟。
選擇您想使用 API 鑰鍵存取的體驗。
從經驗操作下拉選單中，選擇您想要為 API 鑰鍵啟用的操作。

API 參考中的許多操作包括所需的權限範圍。例如，清除記憶體儲存操作需要universe.memory-store:flush。

為了安全原因，給每個 API 鑰匙最少數量的必要權限。如果 API 鑰匙洩露，這個最小權限原則確保只有您資源的一部分受到侵害。
在安全部分,明確設置IP使用CIDR記號來存取鑰匙,否則無法使用API鑰鍵。您可以找到本地機器的 IP 地址，並將其添加到接受的 IP 地址部分，以及為需要存使用權通行權存取的人添加額外的 IP 地址。如果您沒有固定 IP，或者只在本地環境使用 API 密鑰，您可以直接將 0.0.0.0/0 添加到接受的 IP 地址部分，以允許任何 IP 使用您的 API 密鍵。
(可選) : 為了增加對資源的保護，設置明確的過期日期，以便您的鑰匙在那之後自動停止工作。
點擊儲存和生成鑰匙按鈕。
複製並儲存 API 鑰匙字串到安全位置，該位置不是不是你的代碼公共儲存庫。
在 API 擴展頁面的創作者面板上檢查您創建的 API 鑰匙。

API 鑰匙字串與應用程式的密碼相等。永遠不要與未信任的方式分享，例如開發團隊外的任何人。

群組擁有的 API 鑰匙權限

群組所有者可以管理群組擁有的 API 鑰匙許可，讓群組成員擁有不同等級的 API 鑰匙控制，根據群組內的角色和權限來實現。也有情況會自動撤銷群組成員的 API 鑰匙管理權限。

許可授予

作為群組所有者，您可以授予管理所有API鑰匙許可給您群組內的角色。擁有此許可的會員擁有群組所有者擁有的所有 API 鑰匙許可，包括能夠創建立、創作、查檢視、撤銷、撤消和檢查所有群組的 API 鑰匙的能力。

您也可以授予管理自己的 API 鑰匙許可給您群組內的角色。這讓會員只能創建和查看屬於他們的密鑰，而不能管理其他人的密鑰。

權限無效化

有多種情況會自動撤回群組成成員會員的管理群組 API 鑰匙許可：

會員被分配到沒有許可的不同角色。這可能發生在群組所有權轉移期間。
會成員會員的權限在目前已配置的角色上被禁用。
會員離開或從群組中移除。
會成員會員的帳戶由 Roblox 進行管理。

在這些情況下，由該用戶生成的 API 鑰匙都會獲得取消狀態。若要再次使用這些鑰匙，群組所有者或擁有管理所有 API 鑰匙權限的成員必須重新生成鑰匙。

CIDR 格式

為進一步保護您的資源，當創建 API 鑰匙時，指定 IP 地址，可以使用普通 IP 地址或使用 CIDR 記號來存取 API 鑰匙。CIDR IP 地址看起來像普通的 IP 地址，除了結尾以一個斜杆和一個十進位數字來表示網路路由所需的 IP 地址位元數量：

正常 : 192.168.0.0
CIDR ：192.168.0.0/24

前一部分是 IP 地址，後一部分是網路面紙，計數 1s 的位元以二進制格式。在上一個例子中， 24 表示 255.255.255.0 （24 1 秒），可以允許所有 IP 之間的 192.168.0.0 和 192.168.0.255 之間。理解CIDR格式特別有用，如果你計劃在伺服器上運行你的應用程式。

API 鑰匙狀態

API 鑰匙最初具有積極狀態，但它們可能會在使用期間停用。要了解為什麼 API 鑰匙會變更狀態，以及如何將 API 鑰匙返回到活動狀態，請參閱下表。

如果你或你的群組在 60 天內沒有使用或更新 API 鑰匙，即使沒有設定過期日期，它也會自動過期。這樣會降低惡意行為使用舊 API 鑰匙的風險。如果您不再使用 API 鑰鍵，您應該手動禁用或刪除它。

狀態	原因	解析度
已啟用	沒有問題。使用者可以使用鑰匙來認証 API 呼叫。	N/A
已停用	使用者停用了鍵，因為停用了啟用鍵切換。	啟用啟用鍵切換。
過期	鑰鍵的過期日期已過。	要刪除或設置新的過期日期。
自動過期	使用者在過去 60 天內未使用或更新鑰匙。	您可以禁用然後啟用啟用鑰匙切換，或者可以更新鑰鍵的任何特性，例如名稱、說明或過期日期。
已取消	僅限群組鑰匙。產生鑰匙的帳戶已不再擁有足夠的訪問權限來管理群組的鑰匙。	點擊重生鑰匙以獲得新的秘密。
已管理	一位 Roblox 管理員因安全原因變更了鑰鍵的秘密。	點擊重生鑰匙以獲得新的秘密。
使用者已管理過	產生鑰匙的帳戶正在被 Roblox 審核。	在帳戶上解決管理問題。