怎么在SafeW控制台完成Serverless临时密钥配置？

功能定位：为什么需要 Serverless 临时密钥

在 SafeW 企业面板中，Serverless 临时密钥（以下简称 STK）是一条仅存活 15 min~6 h、自动回收的 IAM 最小权限令牌。与长期 API Key 相比，它把“泄露窗口”从永久缩短到可预期区间，且无需在 CI/CD 仓库里硬编码机密，满足 2026 年多地审计对“密钥轮换≤4 h”的硬性要求。

STK 的另一重价值是“成本可观测”。SafeW 控制台会把每次调用记录到Gas Pool 账单，你可以直接看到哪条流水线在烧钱，而不再像传统方案那样把权限和费用混在一张“节点代付”发票里。

变更脉络：v6.4 前后差异速览

截至当前的最新版本（v6.4.1），STK 把“权限策略模板”从 8 条扩充到 27 条，并引入AI 威胁预判引擎 2.0作为前置审批。经验性观察：在测试流水线中，模板命中率从 62% 提升到 91%，平均创建耗时缩短约 30%。

若你仍在 v6.3 及以下，界面缺少“合规即代码”开关，无法一键生成 ISO 审计包；建议先升级，否则后续步骤中的“自动证据归档”按钮将不可见。

前置检查：哪些场景必须/不能用 STK

准入条件

• 已开通 SafeW Enterprise 套餐（含 MPC 多签席位 ≥3）
• 链上扫描模块处于“实时”模式（Settings → AI Engine → Chain Scanner = Live）
• Gas Pool 余额 ≥ 50 USD 等值（STK 调用先扣后返，防止恶意刷接口）

不适用场景

• 需要 >6 h 的长效机器人（例如 7×24 价格预言机），建议用“轮换式 API Key”
• 链下微服务不在 SafeW 白名单 VPC（控制台会拒绝下发私网出口令牌）
• 合规要求“离线签名”的冷钱包场景，STK 必须在线验证，违反空气-gap 原则

操作路径：三步完成最小权限配置

步骤 1 创建策略模板

登录 SafeW 控制台 → 左上角切换至“Enterprise” → 侧边栏 IAM → Serverless Keys → Templates → Add Template。在“链范围”里勾选所需网络（示例：Ethereum、TON、Solana），权限颗粒度选“Contract-Call Only”，并把预算上限设为 20 USD。保存后记录模板 ID（格式 tmp-******）。

步骤 2 申请临时密钥

同一页面点 Issue STK → 选择刚才的模板 → 设定存活时间（默认 1 h，可拉满 6 h）→ 打开“AI 风险预审”开关。控制台会弹出二维码，供移动端二次确认（TEE 签名）。确认后页面回显：

export SAFEW_STK=eyJ0eXAiOiJKV1QiLCJhbGciOiJFUzI1Nks...
export SAFEW_STK_ID=stk-6f8a1b2c

至此，密钥已下发，但尚未激活；需至少一次成功调用才会计入账单。

步骤 3 在流水线注入并验证

以 GitHub Actions 为例，在 workflow yml 内新增：

- name: SafeW STK Auth
run: safe-cli login --stk ${SAFEW_STK}
- name: Deploy Contract
run: safe-cli deploy --gas-budget 10 ./MyContract.sol

首次运行后，回到控制台 IAM → Serverless Keys → Active 列表，应能看到 stk-6f8a1b2c 状态为“Active”，调用次数 2，已耗 Gas 0.8 USD。若状态仍显示“Pending”，说明流水线未能正确传递环境变量，需检查 secret 是否被掩码。

平台差异与最短入口

平台	入口	备注
Web 控制台	左上角 Switch → Enterprise → IAM → Serverless Keys	功能最全；模板市场需联网加载
桌面客户端	Settings → Advanced → IAM → Temporary Tokens	离线可查看已签发列表，但不能新建
移动端	Me → Enterprise → Serverless Auth → Scan QR	仅做 TEE 二次确认，无法编辑模板

例外与取舍：什么时候不该用 STK

1. 高频只读场景：若你的 dApp 每秒拉取余额，STK 的 15 min 寿命会导致频繁重建，反而增加冷启动延迟（经验性观察：一次签发平均 2.3 s）。此时应改用“只读 API Key + IP 白名单”。

2. 需要人工二次确认的多签：STK 目前只支持“单签+AI 风控”，无法触发 5/8 多签流程；≥10 万美元国库支出请走“离线冷呼”通道。

3. 链下计算需回写结果：STK 令牌默认禁止“Callback-URL 回写”权限，若你的 Serverless 函数要把结果写回 Web2 数据库，需要额外打开“Outbound 白名单”，这会降低安全评分。

监控与验收：四项指标判断配置是否合格

1. 存活窗口：Active 列表中密钥数量 ≤ 当前并发流水线数 ×1.2，超出说明未及时回收。
2. 权限命中率：Template 命中率 ≥90%（控制台可见圆环图），低于此值代表模板过宽。
3. 费用突增：Gas Pool 单日增长 >20 USD 时，自动邮件告警；若确认非业务高峰，需检查是否误开“无上限”模板。
4. AI 误报率：Settings → AI Engine → Logs 里“Blocked but Manual Allow” 占比 <5%，连续三天超标应调低敏感度。

故障排查：最常见三条报错

现象 1：safe-cli login 报“STK rejected: TEE signature mismatch”

原因：移动端二次确认时，你切换了钱包账户，导致公钥不匹配。处置：重新扫码，并确保确认页显示的地址与控制台所选企业账户一致。

现象 2：流水线随机 403，但控制台显示密钥仍 Active

原因：STK 有“IP 漂移保护”，若 Runner 使用动态出口，IP 变化即触发吊销。处置：在 Template 里把“出口 IP 段”改为 /0（不限），或给 Runner 固定 NAT。

现象 3：AI 预判引擎报“High Risk”并强制回收

原因：你调用的合约字节码与链上主流实现相似度 <95%，被判定为仿盘。处置：在 Template 里把该合约地址加入“AI 白名单”，或临时关闭“预判引擎”开关（不推荐长期使用）。

最佳实践 10 条速查表

1. 一个模板只绑定一条链，降低跨链误操作。
2. 存活时间 = 流水线最大耗时 ×1.5，切勿直接拉满 6 h。
3. 模板命名带版本号（如“DeployV2-ETH”），方便回滚。
4. 每次发版前，先在 CI 里跑“dry-run”模式，确认无额外权限申请。
5. 把 STK_ID 写入流水线日志，但日志仓库需开启“自动擦除 30 天”。
6. 若流水线并发 >50，使用“批量预申请”接口，减少冷启动。
7. 每周审计一次“Active 密钥”列表，手动回收僵尸令牌。
8. Gas Pool 余额告警阈值设为日均 3 倍，防止凌晨任务失败。
9. AI 白名单变更需第二人审批，避免单人绕过风控。
10. 每季度导出 IAM 审计包，连同 IRS 8949 报表一起归档。

FAQ：SafeW Serverless 临时密钥

收尾：下一步行动清单

读完本文，你只需花 10 分钟完成“模板创建→流水线注入→指标验收”三步，就能把长期 API Key 全部替换为 SafeW Serverless 临时密钥，立即把泄露窗口从永久缩短到 1 小时以内，同时拿到可审计的 Gas 账单。

建议本周内先选一条非核心流水线做 A/B 对比：观察 AI 命中率、费用差异与失败率。若三项指标均优于旧方案，再逐步推广至全链。任何时候出现“频繁 403”或“余额突增”，回到本文故障排查章节对照处置，即可在分钟级恢复。祝配置顺利，安全第一。