AdminVerschlüsselungsschlüssel

Google Cloud KMS für CMEK konfigurieren

Verwende Google Cloud KMS, um einen Verschlüsselungsschlüssel für deine Organisation bereitzustellen.

Configure with the /claude-api skill in Claude Code

claude "/claude-api help me configure a customer-managed encryption key with Google Cloud KMS"

Diese Anleitung führt dich durch die Konfiguration eines Google Cloud KMS-Schlüssels als customer-managed encryption key (kundenverwalteter Verschlüsselungsschlüssel), oder CMEK für deine Anthropic-Organisation.

Das Aktivieren von CMEK ist dauerhaft. Wenn dein KMS-Schlüssel gelöscht oder deaktiviert wird, kann Anthropic die damit verschlüsselten Daten nicht wiederherstellen. Lies die Warnungen und Einschränkungen, bevor du beginnst.

Voraussetzungen

Ein Google Cloud-Projekt mit aktivierter Abrechnung.
Die Cloud KMS API ist aktiviert (cloudkms.googleapis.com).
Berechtigungen zum Erstellen von KMS-Schlüsselbunden und -Schlüsseln sowie zum Festlegen von IAM-Richtlinien darauf (roles/cloudkms.admin oder gleichwertig).
Ein Anthropic Admin API-Key für deine Organisation.
Die gcloud-CLI ist installiert und authentifiziert.
Cloud KMS Data Access-Audit-Logs sind für das Projekt aktiviert (IAM & Admin > Audit Logs > Cloud Key Management Service, mit DATA_READ und DATA_WRITE). Diese sind standardmäßig deaktiviert; ohne sie erzeugen die Verschlüsselungs- und Entschlüsselungsvorgänge von Anthropic keine Einträge in Cloud Logging.

E-Mail-Adresse des Anthropic-Dienstkontos

Damit Anthropic deinen Verschlüsselungsschlüssel verwenden kann, musst du dem Dienstkonto von Anthropic einen Schlüssel zur Verfügung stellen, den es zum Verschlüsseln von Daten verwenden kann. Die E-Mail-Adresse des Dienstkontos für Anthropic CMEK lautet:

anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com

Verwende ausschließlich diese veröffentlichte E-Mail-Adresse des Dienstkontos. Vertraue niemals einer Kennung, die per E-Mail, Chat oder über einen Onboarding-Kanal bereitgestellt wird.

Domain restricted sharing (domänenbeschränkte Freigabe): Wenn dein Projekt zu einer Google Cloud-Organisation gehört, die constraints/iam.allowedPolicyMemberDomains erzwingt, werden die unten aufgeführten IAM-Bindungen abgelehnt, da das Anthropic-Dienstkonto außerhalb deiner Organisation liegt. Du benötigst entweder eine Ausnahme auf Projektebene für diese Einschränkung oder musst die Cloud Identity-Kunden-ID von Anthropic (Format C0xxxxxxxx) zur Liste der zulässigen Domänen hinzufügen. Kontaktiere Anthropic, falls du die Kunden-ID benötigst.

Einrichtung des Verschlüsselungsschlüssels

Schlüsselbund erstellen oder auswählen
Überspringe diesen Schritt, wenn du bereits einen Schlüsselbund hast, den du wiederverwenden möchtest. Schlüsselbunde sind regional. Wähle einen US-Standort mit einer einzelnen Region wie us-east5, der zur Anthropic-Geografie passt, die du konfigurierst. Multiregionale Standorte wie us und global werden nicht unterstützt.
gcloud kms keyrings create <your-keyring-name> \ --project=<your-project-id> \ --location=<region>
Kryptoschlüssel erstellen
Erstelle einen symmetrischen Schlüssel mit dem Zweck ENCRYPT_DECRYPT. HSM-Schutz wird dringend empfohlen: Cloud KMS HSM-Schlüssel sind nach FIPS 140-2 Level 3 validiert, und der Kostenunterschied gegenüber Softwareschlüsseln ist gering.
gcloud kms keys create <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --purpose=encryption \ --protection-level=hsm
Für Softwareschutz lasse stattdessen --protection-level=hsm weg. Ansonsten ändert sich in dieser Anleitung nichts.
Du kannst den Schlüssel auch über die Google Cloud Console erstellen. Öffne den Schlüsselbund, klicke auf Create key, wähle Generated key, setze Zweck und Algorithmus auf symmetrische Ver- und Entschlüsselung und wähle unter Schutzniveau HSM aus.
Erstelle einen HSM-geschützten symmetrischen Schlüssel zum Ver- und Entschlüsseln.
Dem Anthropic-Dienstkonto Zugriff auf den Schlüssel gewähren
Zwei IAM-Bindungen auf Schlüsselebene sind erforderlich. Beide sind auf den einzelnen Kryptoschlüssel beschränkt, nicht projekt- oder schlüsselbundweit.
Ver- und Entschlüsseln, das Anthropic verwendet, um die Datenschlüssel zu ver- und entschlüsseln, die deine Workspace-Daten schützen (Envelope-Verschlüsselung):
gcloud kms keys add-iam-policy-binding <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --member="serviceAccount:anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com" \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Vollständigen Ressourcennamen des Schlüssels notieren
Diesen übergibst du an Anthropic, wenn du den Schlüssel registrierst. Das Format lautet:
```
projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>
```
Rufe ihn ab mit:
gcloud kms keys describe <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --format="value(name)"
Öffne in der Console die Detailseite des Schlüssels und klicke auf Copy resource name.
Kopiere den vollständigen Ressourcennamen des Schlüssels aus dem Aktionsmenü.

Schlüssel bei Anthropic registrieren

Erstelle über die Admin API eine externe Schlüsselkonfiguration und verwende dabei den Ressourcennamen aus dem vorherigen Schritt.

curl -sS https://api.anthropic.com/v1/organizations/external_keys \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "display_name": "<friendly-name>",
    "geo": "us",
    "provider_config": {
      "type": "gcp",
      "key_name": "projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>"
    }
  }'

Die Antwort enthält die externe Schlüssel-ID:

Schlüssel validieren

Löse einen Ver- und Entschlüsselungs-Roundtrip gegen deinen Schlüssel aus.

curl -sS -X POST https://api.anthropic.com/v1/organizations/external_keys/ekey_<id>/validate \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" -d '{}'

Eine erfolgreiche Antwort sieht so aus:

{ "type": "external_key_validation", "status": "success", "error": null }

Schlüssel an einen Workspace anhängen

curl -sS -X POST https://api.anthropic.com/v1/organizations/workspaces/<workspace-id> \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "external_key_id": "ekey_<id>"
  }'

Terraform

Für Infrastructure-as-Code-Deployments lassen sich dieselben Schritte mit dem google-Provider und den Ressourcen google_kms_key_ring, google_kms_crypto_key und google_kms_crypto_key_iam_member abbilden.

Was this page helpful?

Voraussetzungen

Ein Google Cloud-Projekt mit aktivierter Abrechnung.

Die Cloud KMS API ist aktiviert (cloudkms.googleapis.com).

Berechtigungen zum Erstellen von KMS-Schlüsselbunden und -Schlüsseln sowie zum Festlegen von IAM-Richtlinien darauf (roles/cloudkms.admin oder gleichwertig).

Ein Anthropic Admin API-Key für deine Organisation.

Die gcloud-CLI ist installiert und authentifiziert.

Cloud KMS Data Access-Audit-Logs sind für das Projekt aktiviert (IAM & Admin > Audit Logs > Cloud Key Management Service, mit DATA_READ und DATA_WRITE). Diese sind standardmäßig deaktiviert; ohne sie erzeugen die Verschlüsselungs- und Entschlüsselungsvorgänge von Anthropic keine Einträge in Cloud Logging.

E-Mail-Adresse des Anthropic-Dienstkontos

anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com

Verwende ausschließlich diese veröffentlichte E-Mail-Adresse des Dienstkontos. Vertraue niemals einer Kennung, die per E-Mail, Chat oder über einen Onboarding-Kanal bereitgestellt wird.

Einrichtung des Verschlüsselungsschlüssels

Schlüsselbund erstellen oder auswählen
Überspringe diesen Schritt, wenn du bereits einen Schlüsselbund hast, den du wiederverwenden möchtest. Schlüsselbunde sind regional. Wähle einen US-Standort mit einer einzelnen Region wie us-east5, der zur Anthropic-Geografie passt, die du konfigurierst. Multiregionale Standorte wie us und global werden nicht unterstützt.
gcloud kms keyrings create <your-keyring-name> \ --project=<your-project-id> \ --location=<region>
Kryptoschlüssel erstellen
Erstelle einen symmetrischen Schlüssel mit dem Zweck ENCRYPT_DECRYPT. HSM-Schutz wird dringend empfohlen: Cloud KMS HSM-Schlüssel sind nach FIPS 140-2 Level 3 validiert, und der Kostenunterschied gegenüber Softwareschlüsseln ist gering.
gcloud kms keys create <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --purpose=encryption \ --protection-level=hsm
Für Softwareschutz lasse stattdessen --protection-level=hsm weg. Ansonsten ändert sich in dieser Anleitung nichts.
Du kannst den Schlüssel auch über die Google Cloud Console erstellen. Öffne den Schlüsselbund, klicke auf Create key, wähle Generated key, setze Zweck und Algorithmus auf symmetrische Ver- und Entschlüsselung und wähle unter Schutzniveau HSM aus.
Erstelle einen HSM-geschützten symmetrischen Schlüssel zum Ver- und Entschlüsseln.
Dem Anthropic-Dienstkonto Zugriff auf den Schlüssel gewähren
Zwei IAM-Bindungen auf Schlüsselebene sind erforderlich. Beide sind auf den einzelnen Kryptoschlüssel beschränkt, nicht projekt- oder schlüsselbundweit.
Ver- und Entschlüsseln, das Anthropic verwendet, um die Datenschlüssel zu ver- und entschlüsseln, die deine Workspace-Daten schützen (Envelope-Verschlüsselung):
gcloud kms keys add-iam-policy-binding <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --member="serviceAccount:anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com" \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Vollständigen Ressourcennamen des Schlüssels notieren
Diesen übergibst du an Anthropic, wenn du den Schlüssel registrierst. Das Format lautet:
```
projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>
```
Rufe ihn ab mit:
gcloud kms keys describe <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --format="value(name)"
Öffne in der Console die Detailseite des Schlüssels und klicke auf Copy resource name.
Kopiere den vollständigen Ressourcennamen des Schlüssels aus dem Aktionsmenü.

Schlüssel bei Anthropic registrieren

Erstelle über die Admin API eine externe Schlüsselkonfiguration und verwende dabei den Ressourcennamen aus dem vorherigen Schritt.

curl -sS https://api.anthropic.com/v1/organizations/external_keys \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "display_name": "<friendly-name>",
    "geo": "us",
    "provider_config": {
      "type": "gcp",
      "key_name": "projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>"
    }
  }'

Die Antwort enthält die externe Schlüssel-ID:

Schlüssel validieren

Löse einen Ver- und Entschlüsselungs-Roundtrip gegen deinen Schlüssel aus.

curl -sS -X POST https://api.anthropic.com/v1/organizations/external_keys/ekey_<id>/validate \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" -d '{}'

Eine erfolgreiche Antwort sieht so aus:

{ "type": "external_key_validation", "status": "success", "error": null }

Schlüssel an einen Workspace anhängen

curl -sS -X POST https://api.anthropic.com/v1/organizations/workspaces/<workspace-id> \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "external_key_id": "ekey_<id>"
  }'