AdministraciónAutenticación

Autenticación

Autentícate en la API de Claude con claves de API o Workload Identity Federation.

La API de Claude admite dos formas de autenticar solicitudes:

Método	Credencial	Ideal para
Clave de API	Secreto de larga duración `sk-ant-api...` en el encabezado `x-api-key`	Desarrollo local, prototipado, scripts y servidores de un solo inquilino donde controlas el almacenamiento de secretos
Workload Identity Federation	Token de portador de corta duración intercambiado a partir del token de identidad de tu proveedor de identidad	Cargas de trabajo de producción en plataformas en la nube (AWS, Google Cloud, Azure), pipelines de CI/CD y Kubernetes, donde deseas eliminar secretos estáticos

Ambos métodos otorgan el mismo acceso a los endpoints de la API de Claude. Elige las claves de API para comenzar rápidamente y cambia a Workload Identity Federation cuando tu carga de trabajo ya tenga una identidad emitida por la plataforma que puedas federar.

Claves de API

Las "API keys" (claves de API) son secretos estáticos que generas en Claude Console y pasas en cada solicitud.

Crea una clave: Ve a Settings → API keys en Claude Console. Usa workspaces para limitar el alcance de las claves por proyecto o entorno.
Envía la clave: Establece el encabezado x-api-key en las solicitudes HTTP directas, o establece la variable de entorno ANTHROPIC_API_KEY y los SDK de cliente la detectarán automáticamente.

POST /v1/messages
x-api-key: YOUR_API_KEY
anthropic-version: 2023-06-01
content-type: application/json

Las claves de API no tienen fecha de expiración. Almacénalas en un gestor de secretos, rótalas periódicamente y revoca cualquier clave que sospeches que se ha filtrado.

client = Anthropic(api_key="my-anthropic-api-key")
# o, con ANTHROPIC_API_KEY configurada en el entorno:
client = Anthropic()

Workload Identity Federation

"Workload Identity Federation" (federación de identidad de cargas de trabajo), o WIF, permite que una carga de trabajo se autentique con un token de identidad de corta duración emitido por un "identity provider" (proveedor de identidad), o IdP, en el que ya confías, como AWS IAM, Google Cloud o cualquier emisor OIDC compatible con los estándares (como GitHub Actions, cuentas de servicio de Kubernetes, SPIFFE, Microsoft Entra ID u Okta). La carga de trabajo intercambia su JWT emitido por el IdP en POST /v1/oauth/token por un token de acceso de corta duración de la API de Claude, y el SDK actualiza ese token automáticamente antes de que expire. No hay ninguna cadena sk-ant-api... que generar, distribuir ni rotar.

La federación elimina las claves de API de Claude de larga duración de tu entorno, lo que reduce el radio de impacto de una credencial filtrada y te permite gestionar el acceso con los mismos controles de IdP que ya usas para los recursos en la nube. Por sí sola, no garantiza seguridad de extremo a extremo: la cadena de confianza es tan fuerte como la configuración de tu proveedor de identidad, y un secreto de larga duración un salto más arriba (por ejemplo, una credencial estática de la nube que puede generar tokens de IdP) aún puede comprometerla. Combina la federación con los controles de tu proveedor, como listas de IP permitidas, MFA y registro de auditoría.

Para configurar la federación, creas tres recursos en Claude Console (una cuenta de servicio, un emisor de federación y una regla de federación) y luego apuntas tu SDK a la regla. Consulta Workload Identity Federation para ver el tutorial completo de configuración.

Próximos pasos

Configurar Workload Identity Federation

Configura emisores, reglas y cuentas de servicio, y luego intercambia tokens

Guías de proveedores de identidad

Guías paso a paso para AWS, Google Cloud, Azure, GitHub Actions, Kubernetes, SPIFFE y Okta

Referencia de WIF

Variables de entorno, reglas de validación, configuración de perfiles y referencia de errores

SDK de cliente

Python, TypeScript, C#, Go, Java, PHP, Ruby y la CLI

Was this page helpful?

Método

Credencial

Ideal para

Clave de API

Secreto de larga duración sk-ant-api... en el encabezado x-api-key

Desarrollo local, prototipado, scripts y servidores de un solo inquilino donde controlas el almacenamiento de secretos

Workload Identity Federation

Token de portador de corta duración intercambiado a partir del token de identidad de tu proveedor de identidad

Cargas de trabajo de producción en plataformas en la nube (AWS, Google Cloud, Azure), pipelines de CI/CD y Kubernetes, donde deseas eliminar secretos estáticos

Claves de API

Las "API keys" (claves de API) son secretos estáticos que generas en Claude Console y pasas en cada solicitud.

Crea una clave: Ve a Settings → API keys en Claude Console. Usa workspaces para limitar el alcance de las claves por proyecto o entorno.

Envía la clave: Establece el encabezado x-api-key en las solicitudes HTTP directas, o establece la variable de entorno ANTHROPIC_API_KEY y los SDK de cliente la detectarán automáticamente.

POST /v1/messages
x-api-key: YOUR_API_KEY
anthropic-version: 2023-06-01
content-type: application/json

Las claves de API no tienen fecha de expiración. Almacénalas en un gestor de secretos, rótalas periódicamente y revoca cualquier clave que sospeches que se ha filtrado.

client = Anthropic(api_key="my-anthropic-api-key")
# o, con ANTHROPIC_API_KEY configurada en el entorno:
client = Anthropic()

Workload Identity Federation