• Mensajes
  • Agentes gestionados
  • Administración
Search...
⌘K
Organización
API de administraciónEspacios de trabajo
Autenticación
Descripción generalFederación de identidades de carga de trabajoReferencia de WIF
Monitoreo
API de uso y costosAPI de límites de velocidadAPI de análisis de Claude Code
Datos y cumplimiento
Residencia de datosAPI y retención de datos
Descripción generalAWS KMSGoogle Cloud KMSAzure Key Vault
API de cumplimiento
Descripción generalObtener accesoFeed de actividadChats, archivos y proyectosOrganizaciones, usuarios, roles y gruposDiseñar tu integraciónErroresPreguntas frecuentes
Log in
Google Cloud KMS
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...

Solutions

  • AI agents
  • Code modernization
  • Coding
  • Customer support
  • Education
  • Financial services
  • Government
  • Life sciences

Partners

  • Amazon Bedrock
  • Google Cloud's Vertex AI

Learn

  • Blog
  • Courses
  • Use cases
  • Connectors
  • Customer stories
  • Engineering at Anthropic
  • Events
  • Powered by Claude
  • Service partners
  • Startups program

Company

  • Anthropic
  • Careers
  • Economic Futures
  • Research
  • News
  • Responsible Scaling Policy
  • Security and compliance
  • Transparency

Learn

  • Blog
  • Courses
  • Use cases
  • Connectors
  • Customer stories
  • Engineering at Anthropic
  • Events
  • Powered by Claude
  • Service partners
  • Startups program

Help and security

  • Availability
  • Status
  • Support
  • Discord

Terms and policies

  • Privacy policy
  • Responsible disclosure policy
  • Terms of service: Commercial
  • Terms of service: Consumer
  • Usage policy
Administración/Claves de cifrado

Configurar Google Cloud KMS para CMEK

Usa Google Cloud KMS para proporcionar una clave de cifrado para tu organización.
Configure with the /claude-api skill in Claude Code
claude "/claude-api help me configure a customer-managed encryption key with Google Cloud KMS"

Esta guía te explica cómo configurar una clave de Google Cloud KMS como una "customer-managed encryption key" (clave de cifrado gestionada por el cliente), o CMEK, para tu organización de Anthropic.

Habilitar CMEK es permanente. Si tu clave de KMS se elimina o se deshabilita, Anthropic no puede recuperar los datos cifrados con ella. Revisa las advertencias y limitaciones antes de comenzar.

Requisitos previos

  • Un proyecto de Google Cloud con facturación habilitada.
  • La API de Cloud KMS habilitada (cloudkms.googleapis.com).
  • Permisos para crear llaveros (key rings) y claves de KMS, y para establecer políticas de IAM sobre ellos (roles/cloudkms.admin o equivalente).
  • Una clave de API de administrador de Anthropic para tu organización.
  • La CLI de gcloud instalada y autenticada.
  • Los registros de auditoría de acceso a datos (Data Access audit logs) de Cloud KMS habilitados para el proyecto (IAM & Admin > Audit Logs > Cloud Key Management Service, con DATA_READ y DATA_WRITE). Estos están desactivados de forma predeterminada; sin ellos, las operaciones de cifrado y descifrado de Anthropic no generan entradas en Cloud Logging.

Correo electrónico de la cuenta de servicio de Anthropic

Para que Anthropic use tu clave de cifrado, debes otorgar a la cuenta de servicio de Anthropic acceso a una clave que pueda usar para cifrar datos. El correo electrónico de la cuenta de servicio para CMEK de Anthropic es:

anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com

Usa únicamente este correo electrónico de cuenta de servicio publicado. Nunca confíes en un identificador proporcionado por correo electrónico, chat o cualquier canal de incorporación.

Uso compartido restringido por dominio: Si tu proyecto está bajo una organización de Google Cloud que aplica constraints/iam.allowedPolicyMemberDomains, las vinculaciones de IAM que se indican a continuación se rechazan porque la cuenta de servicio de Anthropic está fuera de tu organización. Necesitas una excepción a nivel de proyecto para esa restricción, o bien agregar el ID de cliente de Cloud Identity de Anthropic (formato C0xxxxxxxx) a la lista de permitidos. Contacta a Anthropic para obtener el ID de cliente si lo necesitas.

Configuración de la clave de cifrado

Terraform

Para implementaciones de infraestructura como código, los mismos pasos se corresponden con el proveedor google usando los recursos google_kms_key_ring, google_kms_crypto_key y google_kms_crypto_key_iam_member.

Was this page helpful?

  • Requisitos previos
  • Correo electrónico de la cuenta de servicio de Anthropic
  • Configuración de la clave de cifrado
  • Terraform
  1. 1

    Crea o elige un llavero (key ring)

    Omite este paso si ya tienes un llavero que puedas reutilizar. Los llaveros son regionales. Elige una ubicación de una sola región en EE. UU., como us-east5, que coincida con la geografía de Anthropic que estás configurando. No se admiten ubicaciones multirregionales como us y global.

    gcloud kms keyrings create <your-keyring-name> \
  --project=<your-project-id> \
  --location=<region>
  2. 2

    Crea la clave criptográfica

    Crea una clave simétrica con el propósito ENCRYPT_DECRYPT. Se recomienda encarecidamente la protección HSM: las claves HSM de Cloud KMS están validadas según FIPS 140-2 Nivel 3, y la diferencia de costo respecto a las claves de software es pequeña.

    gcloud kms keys create <your-key-name> \
  --project=<your-project-id> \
  --location=<region> \
  --keyring=<your-keyring-name> \
  --purpose=encryption \
  --protection-level=hsm

    Para usar protección de software en su lugar, omite --protection-level=hsm. Nada más cambia en esta guía.

    También puedes crear la clave desde la consola de Google Cloud. Abre el llavero, haz clic en Create key, selecciona Generated key, establece el propósito y el algoritmo en cifrado y descifrado simétrico, y elige HSM en el nivel de protección.

    Página Create key de Google Cloud KMS con nivel de protección HSM y propósito Symmetric encrypt/decrypt.
    Crea una clave simétrica de cifrado/descifrado (encrypt/decrypt) protegida por HSM.
  3. 3

    Otorga acceso a la clave a la cuenta de servicio de Anthropic

    Se requieren dos vinculaciones de IAM a nivel de clave. Ambas están limitadas a la clave criptográfica individual, no a todo el proyecto ni a todo el llavero.

    Cifrado y descifrado, que Anthropic usa para cifrar y descifrar las claves de datos que protegen los datos de tu espacio de trabajo (cifrado de sobre o envelope encryption):

    gcloud kms keys add-iam-policy-binding <your-key-name> \
  --project=<your-project-id> \
  --location=<region> \
  --keyring=<your-keyring-name> \
  --member="serviceAccount:anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com" \
  --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

    Visualizador (Viewer), para la lectura de metadatos (cryptoKeys.get) que Anthropic realiza al inicio para validar el propósito y el algoritmo de la clave:

    gcloud kms keys add-iam-policy-binding <your-key-name> \
  --project=<your-project-id> \
  --location=<region> \
  --keyring=<your-keyring-name> \
  --member="serviceAccount:anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com" \
  --role=roles/cloudkms.viewer

    Desde la consola, selecciona la clave, abre el panel Permissions, haz clic en Grant access y agrega la cuenta de servicio con los roles Cloud KMS CryptoKey Encrypter/Decrypter y Cloud KMS Viewer. Asegúrate de estar en la página de permisos de la clave, no en la del llavero ni en la del proyecto, para que la concesión esté limitada únicamente a esta clave.

    Cuadro de diálogo Grant access de Google Cloud agregando la cuenta de servicio de Anthropic con los roles Cloud KMS CryptoKey Encrypter/Decrypter y Cloud KMS Viewer.
    Otorga ambos roles a la cuenta de servicio de Anthropic, con alcance limitado a la clave.
  4. 4

    Anota el nombre completo del recurso de la clave

    Lo pasarás a Anthropic cuando registres la clave. El formato es:

    projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>

    Recupéralo con:

    gcloud kms keys describe <your-key-name> \
  --project=<your-project-id> \
  --location=<region> \
  --keyring=<your-keyring-name> \
  --format="value(name)"

    Desde la consola, abre la página de detalles de la clave y haz clic en Copy resource name.

    Detalles del llavero de Google Cloud con la acción Copy resource name resaltada en el menú de acciones de la clave.
    Copia el nombre completo del recurso de la clave desde el menú de acciones (Copy resource name).
  5. 5

    Registra la clave en Anthropic

    Crea una configuración de clave externa a través de la Admin API, usando el nombre del recurso del paso anterior.

    curl -sS https://api.anthropic.com/v1/organizations/external_keys \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "display_name": "<friendly-name>",
    "geo": "us",
    "provider_config": {
      "type": "gcp",
      "key_name": "projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>"
    }
  }'

    La respuesta contiene el ID de la clave externa:

    {
  "type": "external_key",
  "id": "ekey_<id>",
  "display_name": "<friendly-name>"
}
  6. 6

    Valida la clave

    Activa una operación completa de cifrado y descifrado contra tu clave.

    curl -sS -X POST https://api.anthropic.com/v1/organizations/external_keys/ekey_<id>/validate \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" -d '{}'

    Una respuesta exitosa se ve así:

    { "type": "external_key_validation", "status": "success", "error": null }

    Si la validación falla, las causas comunes son:

    • VPC Service Controls: si un perímetro de servicio protege Cloud KMS en tu proyecto, agrega a Anthropic a un nivel de acceso en el perímetro (o excluye el proyecto de la clave) para que Anthropic pueda acceder a la clave.
    • Uso compartido restringido por dominio: la política de organización constraints/iam.allowedPolicyMemberDomains puede eliminar la vinculación de la cuenta de servicio de Anthropic (consulta la nota anterior). Confirma que la vinculación está presente con gcloud kms keys get-iam-policy <your-key-name> --project=<your-project-id> --location=<region> --keyring=<your-keyring-name>.
    • Versión de clave deshabilitada o destruida: confirma que la versión principal de la clave está habilitada, y no deshabilitada, programada para destrucción ni destruida.
  7. 7

    Asocia la clave a un espacio de trabajo

    curl -sS -X POST https://api.anthropic.com/v1/organizations/workspaces/<workspace-id> \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "external_key_id": "ekey_<id>"
  }'