AdminCompliance API

Zugriff auf die Compliance API erhalten

Fordere Compliance API-Zugriff für deine Organisation an, erstelle dann einen Compliance Access Key (mit eingeschränkten Berechtigungen) oder einen Admin API-Key und erfahre, welchen du verwenden solltest.

Die Compliance API wird auf Anfrage aktiviert. Claude Enterprise-Organisationen haben Zugriff auf die vollständige API; Claude Console-Organisationen haben nur Zugriff auf den Activity Feed. Diese Seite beschreibt, wie du Zugriff anforderst und API-Keys erstellst.

Erforderliche Rolle: Organisationsadministrator (Claude Console) oder Primary Owner (claude.ai).

Die Compliance API verwendet zwei Key-Typen, und welchen du erstellst, hängt davon ab, welches Claude-Produkt deine Organisation nutzt. Primary Owner erstellen Compliance Access Keys in claude.ai; diese Keys schalten die vollständige Compliance API frei. Organisationsadministratoren erstellen Admin API-Keys in Claude Console; diese Keys schalten nur den Activity Feed frei.

Welchen Key brauchst du?

Key-Typ	Erstellt in	Verwendet für	Funktioniert mit der Compliance API?
Compliance Access Key (`sk-ant-api01-...`)	claude.ai > Organization settings > API	Activity Feed, Chats, Dateien, Projekte, Benutzer und Organisationsmetadaten	Ja (alle Endpunkte)
Admin API-Key (`sk-ant-admin01-...`)	Claude Console > Settings > Admin keys	Die Admin API und der Activity Feed der Compliance API	Nur Activity Feed
Analytics API-Key	claude.ai > Analytics > API keys	Die Claude Enterprise Analytics API	Nein
Claude API-Key (`sk-ant-api03-...`)	Claude Console > Settings > API keys	Aufrufen von Claude-Modellen über die Claude API	Nein

Ein Claude Enterprise-Tenant hat eine übergeordnete Organisation (Parent Organization), die Identität, SSO und SCIM für jede darunter liegende Workload-Organisation zentralisiert. Diese Workload-Organisationen sind die verknüpften Organisationen (Linked Organizations) der übergeordneten Organisation.

Übergeordnete Claude Enterprise-Organisationen erscheinen nicht in Claude Console (platform.claude.com). Die übergeordnete Organisation trägt keine Workloads, keine Claude API-Keys und keine Admin API-Keys. Erstelle Compliance Access Keys in den Organization settings von claude.ai, nicht in Claude Console.

Compliance API-Zugriff anfordern

Kontaktiere deinen Anthropic-Ansprechpartner, um Zugriff anzufordern. Die Aktivierung erfolgt auf Ebene der übergeordneten Organisation und wirkt sich auf jede verknüpfte Organisation aus, sowohl claude.ai als auch Claude Console. Was sich nach der Aktivierung ändert, hängt davon ab, welches Claude-Produkt deine Organisation nutzt.

Nach der Aktivierung: claude.ai-Organisationen

Nachdem Anthropic die Compliance API für deine übergeordnete Organisation aktiviert hat, kann der Primary Owner Compliance Access Keys erstellen – im Abschnitt Keys unter claude.ai > Organization settings > API.

Nach der Aktivierung: Claude Console-Organisationen

Nachdem Anthropic die Compliance API für deine übergeordnete Organisation aktiviert hat, tragen von da an erstellte Admin API-Keys den Scope read:compliance_activities. Admin API-Keys, die vor der Aktivierung erstellt wurden, funktionieren weiterhin mit der Admin API, aber ein Aufruf des Activity Feeds mit einem solchen Key gibt 403 Forbidden zurück; erstelle einen neuen Admin API-Key, um den Scope zu erhalten.

Einen Compliance Access Key erstellen

Die Compliance API muss bereits für deine übergeordnete claude.ai-Organisation aktiviert sein, bevor ein Compliance Access Key erstellt werden kann.

Ein Compliance Access Key mit read:compliance_user_data kann jeden Chat, jede Datei und jedes Projekt in jeder verknüpften Organisation lesen, einschließlich Inhalten, die der Primary Owner nicht gesehen hat. Ein Key mit delete:compliance_user_data kann diese Inhalte dauerhaft löschen. Behandle Compliance Access Keys wie Produktionsdatenbank-Zugangsdaten: Speichere sie in einem Secrets Manager, niemals in der Versionskontrolle oder in der Konfiguration eines SIEM-Forwarders.

Einen Admin API-Key erstellen

Die Compliance API muss bereits für deine Claude Console-Organisation aktiviert sein, bevor ein Admin API-Key den Activity Feed aufrufen kann.

Als Organisationsadministrator anmelden
Nur ein Organisationsmitglied mit der Rolle admin kann Admin API-Keys erstellen. Siehe Organisationsrollen und Berechtigungen für die vollständige Rollenliste.
Admin-Keys-Einstellungen öffnen
Gehe zu Claude Console > Settings > Admin keys.
Den Key erstellen
Klicke auf Create key, benenne den Key und klicke auf Create.
Das Secret kopieren und speichern
Kopiere den angezeigten Secret Key (beginnend mit sk-ant-admin01-) und speichere ihn in deinem Secrets Manager. Das vollständige Secret wird nur einmal angezeigt.
Den Key für die Verwendung mit dem Activity Feed exportieren
Setze den Key als Umgebungsvariable:
export ANTHROPIC_ADMIN_KEY=sk-ant-admin01-...
Der eigene Variablenname verhindert, dass der Admin API-Key einen Compliance Access Key überschreibt, falls du beide bereitstellst. Die cURL-Beispiele in diesem Leitfaden lesen den Key aus $ANTHROPIC_COMPLIANCE_ACCESS_KEY; ersetze dies durch $ANTHROPIC_ADMIN_KEY, wenn du den Activity Feed mit einem Admin API-Key aufrufst.

Admin API-Keys tragen den Scope read:compliance_activities nur dann, wenn die Compliance API für die Organisation aktiviert wurde, bevor der Key erstellt wurde; siehe Nach der Aktivierung: Claude Console-Organisationen. Ihnen kann kein anderer Compliance API-Scope gewährt werden, daher geben Aufrufe an jeden anderen Endpunkt als den Activity Feed 403 Forbidden zurück.

Zur Rolle desselben Keys bei der Verwaltung deiner Claude Console-Organisation siehe Admin API.

Die Scopes deines Keys überprüfen

Um die Scopes eines Keys zu überprüfen, den du bereits hast, nutze eines der folgenden Signale.

Key-Präfix. sk-ant-admin01- ist ein Admin API-Key (trägt nur read:compliance_activities, abhängig vom Aktivierungszeitpunkt im vorherigen Abschnitt). sk-ant-api01- ist ein Compliance Access Key; seine Scopes sind die Teilmenge, die du bei der Erstellung ausgewählt hast.
Einstellungs-UI. Öffne den Abschnitt Keys unter claude.ai > Organization settings > API oder den Abschnitt Admin keys unter Claude Console > Settings > Admin keys und lies die Spalte Scopes für den Key.
Fehlerantworten. Ein Aufruf, der die Scopes des Keys überschreitet, gibt einen 403 mit einer Nachricht im Format Missing required scopes. Got: [<scopes the key carries>] Needed: [<scopes the endpoint requires>] zurück. Siehe Compliance API-Fehler behandeln für den vollständigen Fehlerkatalog.

{
  "error": {
    "type": "permission_error",
    "message": "Missing required scopes. Got: ['read:compliance_activities'] Needed: ['read:compliance_user_data']"
  }
}

Keys verwalten und rotieren

Lösche einen Compliance Access Key in derselben Keys-Tabelle, in der du ihn erstellt hast: Gehe zu claude.ai > Organization settings > API. Lösche einen Admin API-Key unter Claude Console > Settings > Admin keys.

Das Löschen eines Keys wird bei der nächsten Anfrage wirksam: Es gibt keine Übergangsfrist. Compliance Access Keys laufen nicht von selbst ab.

So rotierst du einen Key ohne Ausfall:

Erstelle einen neuen Key mit denselben Scopes.
Aktualisiere deine Integration, um den neuen Key zu verwenden.
Überprüfe, ob die Integration mit dem neuen Key erfolgreich ist.
Lösche den alten Key.

Paginierungs-Cursor, die vor einer Rotation gespeichert wurden, bleiben gültig: Cursor sind an die Organisation gebunden, nicht an den Key.

Wenn ein Compliance Access Key geleakt wird, lösche ihn sofort, prüfe den Activity Feed auf compliance_api_accessed-Aktivitäten durch den kompromittierten Key und rotiere alle nachgelagerten Zugangsdaten, auf die der geleakte Key zugreifen konnte. Übergib activity_types[]=compliance_api_accessed, um die Abfrage einzugrenzen, und behalte dann in deinem Client die Aktivitäten, deren actor.type gleich api_actor ist und deren actor.api_key_id mit dem kompromittierten Key übereinstimmt; siehe Das Activity-Objekt verstehen für das Actor-Schema.

Nächste Schritte

Den Activity Feed abfragen

Lies organisationsweite Aktivitätsereignisse mit jedem Key, der read:compliance_activities hat.

Chats, Dateien und Projekte abrufen und löschen

Verwende einen Compliance Access Key mit read:compliance_user_data, um claude.ai-Inhalte abzurufen, und delete:compliance_user_data, um sie zu löschen.

Was this page helpful?

AdminCompliance API

Zugriff auf die Compliance API erhalten

Erforderliche Rolle: Organisationsadministrator (Claude Console) oder Primary Owner (claude.ai).

Welchen Key brauchst du?

Key-Typ	Erstellt in	Verwendet für	Funktioniert mit der Compliance API?
Compliance Access Key (`sk-ant-api01-...`)	claude.ai > Organization settings > API	Activity Feed, Chats, Dateien, Projekte, Benutzer und Organisationsmetadaten	Ja (alle Endpunkte)
Admin API-Key (`sk-ant-admin01-...`)	Claude Console > Settings > Admin keys	Die Admin API und der Activity Feed der Compliance API	Nur Activity Feed
Analytics API-Key	claude.ai > Analytics > API keys	Die Claude Enterprise Analytics API	Nein
Claude API-Key (`sk-ant-api03-...`)	Claude Console > Settings > API keys	Aufrufen von Claude-Modellen über die Claude API	Nein

Compliance API-Zugriff anfordern

Nach der Aktivierung: claude.ai-Organisationen

Nach der Aktivierung: Claude Console-Organisationen

Einen Compliance Access Key erstellen

Die Compliance API muss bereits für deine übergeordnete claude.ai-Organisation aktiviert sein, bevor ein Compliance Access Key erstellt werden kann.

Einen Admin API-Key erstellen

Die Compliance API muss bereits für deine Claude Console-Organisation aktiviert sein, bevor ein Admin API-Key den Activity Feed aufrufen kann.

Als Organisationsadministrator anmelden
Nur ein Organisationsmitglied mit der Rolle admin kann Admin API-Keys erstellen. Siehe Organisationsrollen und Berechtigungen für die vollständige Rollenliste.
Admin-Keys-Einstellungen öffnen
Gehe zu Claude Console > Settings > Admin keys.
Den Key erstellen
Klicke auf Create key, benenne den Key und klicke auf Create.
Das Secret kopieren und speichern
Kopiere den angezeigten Secret Key (beginnend mit sk-ant-admin01-) und speichere ihn in deinem Secrets Manager. Das vollständige Secret wird nur einmal angezeigt.
Den Key für die Verwendung mit dem Activity Feed exportieren
Setze den Key als Umgebungsvariable:
export ANTHROPIC_ADMIN_KEY=sk-ant-admin01-...
Der eigene Variablenname verhindert, dass der Admin API-Key einen Compliance Access Key überschreibt, falls du beide bereitstellst. Die cURL-Beispiele in diesem Leitfaden lesen den Key aus $ANTHROPIC_COMPLIANCE_ACCESS_KEY; ersetze dies durch $ANTHROPIC_ADMIN_KEY, wenn du den Activity Feed mit einem Admin API-Key aufrufst.

Zur Rolle desselben Keys bei der Verwaltung deiner Claude Console-Organisation siehe Admin API.

Die Scopes deines Keys überprüfen

Um die Scopes eines Keys zu überprüfen, den du bereits hast, nutze eines der folgenden Signale.

Key-Präfix. sk-ant-admin01- ist ein Admin API-Key (trägt nur read:compliance_activities, abhängig vom Aktivierungszeitpunkt im vorherigen Abschnitt). sk-ant-api01- ist ein Compliance Access Key; seine Scopes sind die Teilmenge, die du bei der Erstellung ausgewählt hast.
Einstellungs-UI. Öffne den Abschnitt Keys unter claude.ai > Organization settings > API oder den Abschnitt Admin keys unter Claude Console > Settings > Admin keys und lies die Spalte Scopes für den Key.
Fehlerantworten. Ein Aufruf, der die Scopes des Keys überschreitet, gibt einen 403 mit einer Nachricht im Format Missing required scopes. Got: [<scopes the key carries>] Needed: [<scopes the endpoint requires>] zurück. Siehe Compliance API-Fehler behandeln für den vollständigen Fehlerkatalog.

{
  "error": {
    "type": "permission_error",
    "message": "Missing required scopes. Got: ['read:compliance_activities'] Needed: ['read:compliance_user_data']"
  }
}

Keys verwalten und rotieren

Das Löschen eines Keys wird bei der nächsten Anfrage wirksam: Es gibt keine Übergangsfrist. Compliance Access Keys laufen nicht von selbst ab.

So rotierst du einen Key ohne Ausfall:

Erstelle einen neuen Key mit denselben Scopes.
Aktualisiere deine Integration, um den neuen Key zu verwenden.
Überprüfe, ob die Integration mit dem neuen Key erfolgreich ist.
Lösche den alten Key.

Paginierungs-Cursor, die vor einer Rotation gespeichert wurden, bleiben gültig: Cursor sind an die Organisation gebunden, nicht an den Key.

Nächste Schritte

Den Activity Feed abfragen

Lies organisationsweite Aktivitätsereignisse mit jedem Key, der read:compliance_activities hat.

Chats, Dateien und Projekte abrufen und löschen

Verwende einen Compliance Access Key mit read:compliance_user_data, um claude.ai-Inhalte abzurufen, und delete:compliance_user_data, um sie zu löschen.

Was this page helpful?

Scope	Gewährt
`read:compliance_activities`	Lesen des Activity Feeds für die übergeordnete Organisation und alle verknüpften Organisationen
`read:compliance_user_data`	Lesen von Benutzer-Chats, Nachrichten, Dateien, Projekten, Organisationsbenutzern und Gruppenmitgliedern
`delete:compliance_user_data`	Löschen von Benutzer-Chats, Dateien und Projekten
`read:compliance_org_data`	Lesen von Organisationsmetadaten (Namen, Typen, Rollen und Gruppen). Benutzerauflistungen und Gruppenmitgliedschaften erfordern `read:compliance_user_data`.