AdminVerschlüsselungsschlüssel

Kundenverwaltete Verschlüsselungsschlüssel

Verschlüssele Claude-Workspace-Daten im Ruhezustand mit einem Schlüssel, den du kontrollierst.

Learn more with the /claude-api skill in Claude Code

claude "/claude-api tell me about customer-managed encryption keys"

Ein „customer-managed encryption key" (kundenverwalteter Verschlüsselungsschlüssel), oder CMEK, ermöglicht es dir, einen Verschlüsselungsschlüssel in deinem eigenen AWS KMS, Google Cloud KMS oder Azure Key Vault bereitzustellen und Anthropic diesen verwenden zu lassen, um bestimmte Workspace-Daten im Ruhezustand zu verschlüsseln. Du behältst die volle Kontrolle über den Schlüssel, einschließlich Rotation, Audit und Widerruf, und die Schlüsseloperationen, die Anthropic mit deinem Schlüssel durchführt, werden in den Audit-Logs deines Cloud-Anbieters aufgezeichnet.

Organisationen können sich dafür entscheiden, kundenverwaltete Verschlüsselungsschlüssel anstelle der von Anthropic bereitgestellten Standardverschlüsselung zu verwenden.

Funktionsweise

CMEK wird pro Workspace zugeordnet. Nur Admins können es konfigurieren. CMEK schützt Daten, die nach der Aktivierung des Schlüssels geschrieben werden. Bestehende Daten (frühere Chats, Dateien und Sessions) bleiben mit von Anthropic verwalteten Schlüsseln verschlüsselt und werden nicht mit deinem Schlüssel neu verschlüsselt.

CMEK-Admin-Konfigurationsereignisse erscheinen im Compliance API Activity Feed. Die Schlüsseloperationen, die Anthropic mit deinem Schlüssel durchführt (wie das Wrapping und Unwrapping von Datenschlüsseln), erscheinen nicht in der Compliance API; sie erscheinen in den Audit-Logs deines Cloud-Anbieters.

Voraussetzungen

Cloud-Admin-Zugriff auf das Konto, Projekt oder Abonnement, das den Verschlüsselungsschlüssel hosten wird.
Eine Anthropic Console Organization Admin-Rolle (oder Owner / Primary Owner).

Verfügbarkeit und Regionen

CMEK ist derzeit nur in US-Regionen verfügbar, und alle Verschlüsselungsoperationen werden in US-Regionen verarbeitet. Multi-Region-Schlüssel und EU-Schlüsselresidenz werden noch nicht unterstützt.

Auf Claude Platform on AWS ist CMEK nur mit AWS KMS-Schlüsseln verfügbar; Google Cloud KMS- und Azure Key Vault-Schlüssel können nicht registriert werden. Erstelle, validiere und ordne Schlüssel in der Claude Console zu; die external_keys-API-Endpunkte sind derzeit auf Claude Platform on AWS nicht verfügbar. Der Schlüssel muss sich in derselben AWS-Region befinden wie der Workspace, dem er zugeordnet ist.

CMEK wird derzeit nicht für Organisationen mit aktiviertem HIPAA unterstützt. Die Unterstützung für die gemeinsame Nutzung von CMEK und HIPAA ist geplant. Wenn deine Organisation HIPAA aktiviert hat, kontaktiere deinen Anthropic-Ansprechpartner, bevor du CMEK konfigurierst.

Für minimale Latenz wähle eine Region in der Nähe der US-Infrastruktur von Anthropic:

Anbieter	Empfohlene Regionen
AWS	`us-east-2`
Google Cloud	`us-central1`, `us-east5`
Azure	`northcentralus`, `eastus2`

Was CMEK schützt

Verschlüsselt

Nachrichteninhalte, einschließlich Inline-Dateianhängen, die mit einer Anfrage gesendet werden, sowie MCP- und Tool-Konfiguration.
Backups und Snapshots erben den Schlüssel.

Deaktiviert oder modifiziert

Einige Funktionen werden deaktiviert oder wesentlich modifiziert, wenn CMEK aktiviert ist:

Managed Agent Memory und Agent Dreaming sind deaktiviert.
Beta- und Research-Preview-Funktionen sind möglicherweise nicht durch CMEK abgedeckt.

Nicht verschlüsselt

Diese Funktionen bleiben verfügbar, aber ihre Daten werden nicht mit deinem Schlüssel verschlüsselt. Du kannst jede Funktion, die für deinen Anwendungsfall nicht geeignet ist, in den Einstellungen deaktivieren.

Workbench in der Console.
Daten, die sich nicht im Ruhezustand befinden (wie Cache), und Daten mit einer TTL von weniger als 24 Stunden.
Activity Feed, Audit-Logs und Telemetrie-Netzwerkverkehr wie OTEL, damit Kunden die Compliance auch dann aufrechterhalten können, wenn ein Schlüssel widerrufen wird.

Funktionsunterstützung

Die folgenden APIs, Managed-Agent-Ressourcen und Tools speichern Daten im Ruhezustand unter deinem Schlüssel, wenn CMEK aktiviert ist:

APIs	Managed Agents	Tools und Funktionen
Messages	Agents	Web search
Models	Environments	Web fetch
Files	Sessions	Code execution
Batch	Vaults	Bash tool
Skills		Text editor tool
User profiles		MCP connector
		Structured outputs (nur Claude Sonnet 4.6 und Claude Haiku 4.5)
		Advisor tool
		Computer use
		Context management

Einschränkungen

Irreversible Aktion: Sobald ein Schlüssel einem Workspace zugeordnet ist, kann er nicht mehr entfernt oder ausgetauscht werden. Das Rotieren des Schlüsselmaterials innerhalb desselben Schlüssels (zum Beispiel automatische AWS KMS-Rotation, ein Cloud KMS-Rotationszeitplan oder eine Azure Key Vault-Rotationsrichtlinie) wird transparent unterstützt und erfordert keine Änderung bei Anthropic. Der Wechsel zu einem anderen Schlüssel erfordert das Erstellen eines neuen Workspace mit dem neuen Schlüssel und die Migration deiner Daten. Das Widerrufen oder Deaktivieren des Schlüssels macht alle CMEK-geschützten Daten in diesem Workspace dauerhaft unzugänglich, ohne Möglichkeit zur Rückgängigmachung.
Keine rückwirkende Verschlüsselung: CMEK schützt nur Daten, die nach der Aktivierung des Schlüssels geschrieben werden.
Latenz: Operationen, die Datenschlüssel wrappen oder unwrappen, erfordern einen Round-Trip zu deinem Key-Management-Service, was eine geringe Latenz zu Aktionen hinzufügen kann, die Daten im Ruhezustand lesen oder schreiben.
Widerrufsverzögerung: Der Widerruf eines Schlüssels kann bis zu einer Stunde dauern (die Cache-TTL). Anfragen, die während dieses Zeitfensters bereits in Bearbeitung sind, können weiterhin erfolgreich sein.

Konfiguriere deinen Anbieter

Folge dem Leitfaden für den Key-Management-Service, den du verwendest.

AWS KMS

Erstelle einen AWS KMS-Schlüssel mit einer kontoübergreifenden Schlüsselrichtlinie, dann registriere und validiere ihn.

Google Cloud KMS

Erstelle einen Cloud KMS-Kryptoschlüssel, gewähre dem Service-Account von Anthropic Zugriff, dann registriere ihn.

Azure Key Vault

Erstelle einen RSA-Schlüssel, gewähre dem Anthropic-Service-Principal Zugriff, dann registriere und validiere ihn.

Was this page helpful?

AdminVerschlüsselungsschlüssel

Kundenverwaltete Verschlüsselungsschlüssel

Verschlüssele Claude-Workspace-Daten im Ruhezustand mit einem Schlüssel, den du kontrollierst.

Learn more with the /claude-api skill in Claude Code

claude "/claude-api tell me about customer-managed encryption keys"

Organisationen können sich dafür entscheiden, kundenverwaltete Verschlüsselungsschlüssel anstelle der von Anthropic bereitgestellten Standardverschlüsselung zu verwenden.

Funktionsweise

Voraussetzungen

Cloud-Admin-Zugriff auf das Konto, Projekt oder Abonnement, das den Verschlüsselungsschlüssel hosten wird.
Eine Anthropic Console Organization Admin-Rolle (oder Owner / Primary Owner).

Verfügbarkeit und Regionen

Für minimale Latenz wähle eine Region in der Nähe der US-Infrastruktur von Anthropic:

Anbieter	Empfohlene Regionen
AWS	`us-east-2`
Google Cloud	`us-central1`, `us-east5`
Azure	`northcentralus`, `eastus2`

Was CMEK schützt

Verschlüsselt

Nachrichteninhalte, einschließlich Inline-Dateianhängen, die mit einer Anfrage gesendet werden, sowie MCP- und Tool-Konfiguration.
Backups und Snapshots erben den Schlüssel.

Deaktiviert oder modifiziert

Einige Funktionen werden deaktiviert oder wesentlich modifiziert, wenn CMEK aktiviert ist:

Managed Agent Memory und Agent Dreaming sind deaktiviert.
Beta- und Research-Preview-Funktionen sind möglicherweise nicht durch CMEK abgedeckt.

Nicht verschlüsselt

Workbench in der Console.
Daten, die sich nicht im Ruhezustand befinden (wie Cache), und Daten mit einer TTL von weniger als 24 Stunden.
Activity Feed, Audit-Logs und Telemetrie-Netzwerkverkehr wie OTEL, damit Kunden die Compliance auch dann aufrechterhalten können, wenn ein Schlüssel widerrufen wird.

Funktionsunterstützung

Die folgenden APIs, Managed-Agent-Ressourcen und Tools speichern Daten im Ruhezustand unter deinem Schlüssel, wenn CMEK aktiviert ist:

APIs	Managed Agents	Tools und Funktionen
Messages	Agents	Web search
Models	Environments	Web fetch
Files	Sessions	Code execution
Batch	Vaults	Bash tool
Skills		Text editor tool
User profiles		MCP connector
		Structured outputs (nur Claude Sonnet 4.6 und Claude Haiku 4.5)
		Advisor tool
		Computer use
		Context management

Einschränkungen

Irreversible Aktion: Sobald ein Schlüssel einem Workspace zugeordnet ist, kann er nicht mehr entfernt oder ausgetauscht werden. Das Rotieren des Schlüsselmaterials innerhalb desselben Schlüssels (zum Beispiel automatische AWS KMS-Rotation, ein Cloud KMS-Rotationszeitplan oder eine Azure Key Vault-Rotationsrichtlinie) wird transparent unterstützt und erfordert keine Änderung bei Anthropic. Der Wechsel zu einem anderen Schlüssel erfordert das Erstellen eines neuen Workspace mit dem neuen Schlüssel und die Migration deiner Daten. Das Widerrufen oder Deaktivieren des Schlüssels macht alle CMEK-geschützten Daten in diesem Workspace dauerhaft unzugänglich, ohne Möglichkeit zur Rückgängigmachung.
Keine rückwirkende Verschlüsselung: CMEK schützt nur Daten, die nach der Aktivierung des Schlüssels geschrieben werden.
Latenz: Operationen, die Datenschlüssel wrappen oder unwrappen, erfordern einen Round-Trip zu deinem Key-Management-Service, was eine geringe Latenz zu Aktionen hinzufügen kann, die Daten im Ruhezustand lesen oder schreiben.
Widerrufsverzögerung: Der Widerruf eines Schlüssels kann bis zu einer Stunde dauern (die Cache-TTL). Anfragen, die während dieses Zeitfensters bereits in Bearbeitung sind, können weiterhin erfolgreich sein.

Konfiguriere deinen Anbieter

Folge dem Leitfaden für den Key-Management-Service, den du verwendest.

AWS KMS

Erstelle einen AWS KMS-Schlüssel mit einer kontoübergreifenden Schlüsselrichtlinie, dann registriere und validiere ihn.

Google Cloud KMS

Erstelle einen Cloud KMS-Kryptoschlüssel, gewähre dem Service-Account von Anthropic Zugriff, dann registriere ihn.

Azure Key Vault

Erstelle einen RSA-Schlüssel, gewähre dem Anthropic-Service-Principal Zugriff, dann registriere und validiere ihn.

Was this page helpful?

Die Aktivierung von CMEK ist dauerhaft und kann zu irreversiblem Datenverlust führen

Funktionsweise

Voraussetzungen

Verfügbarkeit und Regionen

Was CMEK schützt

Verschlüsselt

Deaktiviert oder modifiziert

Nicht verschlüsselt

Funktionsunterstützung

Einschränkungen

Konfiguriere deinen Anbieter

Die Aktivierung von CMEK ist dauerhaft und kann zu irreversiblem Datenverlust führen

Funktionsweise

Voraussetzungen

Verfügbarkeit und Regionen

Was CMEK schützt

Verschlüsselt

Deaktiviert oder modifiziert

Nicht verschlüsselt

Funktionsunterstützung

Einschränkungen

Konfiguriere deinen Anbieter