AdministraciónClaves de cifrado

Claves de cifrado gestionadas por el cliente

Cifra los datos en reposo del espacio de trabajo de Claude con una clave que tú controlas.

Learn more with the /claude-api skill in Claude Code

claude "/claude-api tell me about customer-managed encryption keys"

Una "customer-managed encryption key" (clave de cifrado gestionada por el cliente), o CMEK, te permite aprovisionar una clave de cifrado en tu propio AWS KMS, Google Cloud KMS o Azure Key Vault y hacer que Anthropic la use para cifrar ciertos datos del espacio de trabajo en reposo. Conservas el control total de la clave, incluida la rotación, la auditoría y la revocación, y las operaciones de clave que Anthropic realiza contra tu clave se registran en los registros de auditoría de tu proveedor de nube.

Las organizaciones pueden optar por usar claves de cifrado gestionadas por el cliente en lugar del cifrado predeterminado que proporciona Anthropic.

Cómo funciona

CMEK se asocia por espacio de trabajo. Solo los administradores pueden configurarlo. CMEK protege los datos escritos después de que se habilita la clave. Los datos existentes (chats, archivos y sesiones anteriores) permanecen cifrados con claves gestionadas por Anthropic y no se vuelven a cifrar con tu clave.

Los eventos de configuración de administración de CMEK aparecen en el Activity Feed de la Compliance API. Las operaciones de clave que Anthropic realiza contra tu clave (como envolver y desenvolver claves de datos) no aparecen en la Compliance API; aparecen en los registros de auditoría de tu proveedor de nube.

Requisitos previos

Acceso de administrador de nube en la cuenta, proyecto o suscripción que alojará la clave de cifrado.
Un rol de Organization Admin en Anthropic Console (u Owner / Primary Owner).

Disponibilidad y regiones

CMEK actualmente está disponible solo en regiones de EE. UU., y todas las operaciones de cifrado se procesan en regiones de EE. UU. Las claves multirregión y la residencia de claves en la UE aún no son compatibles.

En Claude Platform on AWS, CMEK está disponible únicamente con claves de AWS KMS; no se pueden registrar claves de Google Cloud KMS ni de Azure Key Vault. Crea, valida y asocia claves en Claude Console; los endpoints de la API external_keys no están disponibles actualmente en Claude Platform on AWS. La clave debe estar en la misma región de AWS que el espacio de trabajo al que está asociada.

CMEK no es compatible actualmente con organizaciones que tienen HIPAA habilitado. Está previsto el soporte para usar CMEK junto con HIPAA. Si tu organización tiene HIPAA habilitado, contacta a tu representante de Anthropic antes de configurar CMEK.

Para una latencia mínima, elige una región cercana a la infraestructura de Anthropic en EE. UU.:

Proveedor	Regiones recomendadas
AWS	`us-east-2`
Google Cloud	`us-central1`, `us-east5`
Azure	`northcentralus`, `eastus2`

Qué protege CMEK

Cifrado

Contenido de mensajes, incluidos los archivos adjuntos en línea enviados con una solicitud, y la configuración de MCP y herramientas.
Las copias de seguridad y las instantáneas heredan la clave.

Deshabilitado o modificado

Algunas funciones se desactivan o se modifican sustancialmente cuando CMEK está habilitado:

La memoria de agentes gestionados y el "agent dreaming" están deshabilitados.
Es posible que las funciones beta y de vista previa de investigación no estén cubiertas por CMEK.

No cifrado

Estas funciones siguen disponibles, pero sus datos no se cifran con tu clave. Puedes deshabilitar cualquier función que no sea apropiada para tu caso de uso en Configuración.

Workbench en la Consola.
Datos que no están en reposo (como la caché) y datos con un TTL inferior a 24 horas.
Activity Feed, registros de auditoría y tráfico de red de telemetría como OTEL, para que los clientes puedan mantener el cumplimiento incluso si se revoca una clave.

Compatibilidad de funciones

Las siguientes APIs, recursos de agentes gestionados y herramientas almacenan datos en reposo bajo tu clave cuando CMEK está habilitado:

APIs	Agentes gestionados	Herramientas y funciones
Messages	Agents	Búsqueda web
Models	Environments	Obtención web
Files	Sessions	Ejecución de código
Batch	Vaults	Herramienta Bash
Skills		Herramienta de editor de texto
User profiles		Conector MCP
		Salidas estructuradas (solo Claude Sonnet 4.6 y Claude Haiku 4.5)
		Herramienta Advisor
		Uso de computadora
		Gestión de contexto

Limitaciones

Acción irreversible: Una vez que una clave se asocia a un espacio de trabajo, no se puede desasociar ni intercambiar. La rotación del material de clave dentro de la misma clave (por ejemplo, la rotación automática de AWS KMS, un programa de rotación de Cloud KMS o una política de rotación de Azure Key Vault) se admite de forma transparente y no requiere ningún cambio en Anthropic. Cambiar a una clave diferente requiere crear un nuevo espacio de trabajo con la nueva clave y migrar tus datos. Revocar o deshabilitar la clave hace que todos los datos protegidos por CMEK en ese espacio de trabajo sean permanentemente inaccesibles, sin posibilidad de revertir.
Sin cifrado retroactivo: CMEK solo protege los datos escritos después de que se habilita la clave.
Latencia: las operaciones que envuelven o desenvuelven claves de datos realizan un viaje de ida y vuelta a tu servicio de gestión de claves, lo que puede agregar una pequeña cantidad de latencia a las acciones que leen o escriben datos en reposo.
Retraso en la revocación: la revocación de la clave puede tardar hasta una hora (el TTL de la caché). Las solicitudes que ya están en curso durante ese período pueden seguir completándose correctamente.

Configura tu proveedor

Sigue la guía del servicio de gestión de claves que uses.

AWS KMS

Crea una clave de AWS KMS con una política de clave entre cuentas, luego regístrala y valídala.

Google Cloud KMS

Crea una clave criptográfica de Cloud KMS, otorga acceso a la cuenta de servicio de Anthropic y luego regístrala.

Azure Key Vault

Crea una clave RSA, otorga acceso a la entidad de servicio de Anthropic, luego regístrala y valídala.

Was this page helpful?

AdministraciónClaves de cifrado

Claves de cifrado gestionadas por el cliente

Cifra los datos en reposo del espacio de trabajo de Claude con una clave que tú controlas.

Learn more with the /claude-api skill in Claude Code

claude "/claude-api tell me about customer-managed encryption keys"

Las organizaciones pueden optar por usar claves de cifrado gestionadas por el cliente en lugar del cifrado predeterminado que proporciona Anthropic.

Cómo funciona

Requisitos previos

Acceso de administrador de nube en la cuenta, proyecto o suscripción que alojará la clave de cifrado.
Un rol de Organization Admin en Anthropic Console (u Owner / Primary Owner).

Disponibilidad y regiones

Para una latencia mínima, elige una región cercana a la infraestructura de Anthropic en EE. UU.:

Proveedor	Regiones recomendadas
AWS	`us-east-2`
Google Cloud	`us-central1`, `us-east5`
Azure	`northcentralus`, `eastus2`

Qué protege CMEK

Cifrado

Contenido de mensajes, incluidos los archivos adjuntos en línea enviados con una solicitud, y la configuración de MCP y herramientas.
Las copias de seguridad y las instantáneas heredan la clave.

Deshabilitado o modificado

Algunas funciones se desactivan o se modifican sustancialmente cuando CMEK está habilitado:

La memoria de agentes gestionados y el "agent dreaming" están deshabilitados.
Es posible que las funciones beta y de vista previa de investigación no estén cubiertas por CMEK.

No cifrado

Estas funciones siguen disponibles, pero sus datos no se cifran con tu clave. Puedes deshabilitar cualquier función que no sea apropiada para tu caso de uso en Configuración.

Workbench en la Consola.
Datos que no están en reposo (como la caché) y datos con un TTL inferior a 24 horas.
Activity Feed, registros de auditoría y tráfico de red de telemetría como OTEL, para que los clientes puedan mantener el cumplimiento incluso si se revoca una clave.

Compatibilidad de funciones

Las siguientes APIs, recursos de agentes gestionados y herramientas almacenan datos en reposo bajo tu clave cuando CMEK está habilitado:

APIs	Agentes gestionados	Herramientas y funciones
Messages	Agents	Búsqueda web
Models	Environments	Obtención web
Files	Sessions	Ejecución de código
Batch	Vaults	Herramienta Bash
Skills		Herramienta de editor de texto
User profiles		Conector MCP
		Salidas estructuradas (solo Claude Sonnet 4.6 y Claude Haiku 4.5)
		Herramienta Advisor
		Uso de computadora
		Gestión de contexto

Limitaciones

Acción irreversible: Una vez que una clave se asocia a un espacio de trabajo, no se puede desasociar ni intercambiar. La rotación del material de clave dentro de la misma clave (por ejemplo, la rotación automática de AWS KMS, un programa de rotación de Cloud KMS o una política de rotación de Azure Key Vault) se admite de forma transparente y no requiere ningún cambio en Anthropic. Cambiar a una clave diferente requiere crear un nuevo espacio de trabajo con la nueva clave y migrar tus datos. Revocar o deshabilitar la clave hace que todos los datos protegidos por CMEK en ese espacio de trabajo sean permanentemente inaccesibles, sin posibilidad de revertir.
Sin cifrado retroactivo: CMEK solo protege los datos escritos después de que se habilita la clave.
Latencia: las operaciones que envuelven o desenvuelven claves de datos realizan un viaje de ida y vuelta a tu servicio de gestión de claves, lo que puede agregar una pequeña cantidad de latencia a las acciones que leen o escriben datos en reposo.
Retraso en la revocación: la revocación de la clave puede tardar hasta una hora (el TTL de la caché). Las solicitudes que ya están en curso durante ese período pueden seguir completándose correctamente.

Configura tu proveedor

Sigue la guía del servicio de gestión de claves que uses.

AWS KMS

Crea una clave de AWS KMS con una política de clave entre cuentas, luego regístrala y valídala.

Google Cloud KMS

Crea una clave criptográfica de Cloud KMS, otorga acceso a la cuenta de servicio de Anthropic y luego regístrala.

Azure Key Vault

Crea una clave RSA, otorga acceso a la entidad de servicio de Anthropic, luego regístrala y valídala.

Was this page helpful?

Habilitar CMEK es permanente y puede causar pérdida irreversible de datos

Cómo funciona

Requisitos previos

Disponibilidad y regiones

Qué protege CMEK

Cifrado

Deshabilitado o modificado

No cifrado

Compatibilidad de funciones

Limitaciones

Configura tu proveedor

Habilitar CMEK es permanente y puede causar pérdida irreversible de datos

Cómo funciona

Requisitos previos

Disponibilidad y regiones

Qué protege CMEK

Cifrado

Deshabilitado o modificado

No cifrado

Compatibilidad de funciones

Limitaciones

Configura tu proveedor