Claude Platform sur AWS

Claude Platform sur AWS vous offre l'expérience complète de la plateforme Anthropic, y compris l'API Messages, les Agent Skills, l'exécution de code et les fonctionnalités bêta, accessibles via votre compte AWS. Contrairement à Amazon Bedrock, où AWS exploite la pile d'inférence, c'est Anthropic qui exploite Claude Platform sur AWS. AWS fournit la couche d'authentification (SigV4 ou clé API), le contrôle d'accès basé sur IAM et l'intégration de la facturation via AWS Marketplace.



Fonctionnement de l'intégration de la plateforme

Les modèles Claude s'exécutent sur une infrastructure gérée par Anthropic. Il s'agit d'une intégration commerciale pour la facturation et l'accès via AWS. Anthropic est le sous-traitant des données pour les entrées et sorties d'inférence ; AWS traite les métadonnées de facturation et d'identité dans le cadre du modèle marketplace. Les clients utilisant Claude via Claude Platform sur AWS sont soumis aux conditions d'utilisation des données d'Anthropic. Anthropic continue de fournir ses engagements de pointe en matière de sécurité et de données.

Notez les caractéristiques opérationnelles suivantes : les données peuvent ne pas résider dans AWS ; l'inférence peut être acheminée vers le cloud principal d'Anthropic ; et les sous-services peuvent être déplacés en arrière-plan sans préavis. Définissez le paramètre inference_geo pour chaque requête afin de fixer l'inférence à une zone géographique spécifique.

Claude Platform sur AWS suit la même politique de conservation des données que l'API Claude propriétaire. La « Zero Data Retention » (conservation zéro des données), ou ZDR, est disponible sur demande. Contactez votre représentant de compte Anthropic pour l'activer pour votre organisation.



Claude Platform sur AWS vs Amazon Bedrock

Les deux offres vous permettent d'utiliser Claude via AWS, mais elles diffèrent considérablement en termes d'architecture, de surface d'API et de disponibilité des fonctionnalités.

Si vous avez besoin de Claude exploité par AWS, consultez Claude dans Amazon Bedrock. Claude Platform sur AWS utilise un pool de capacité distinct de l'API Claude propriétaire et d'Amazon Bedrock. Vous pouvez exécuter des charges de travail sur plusieurs plateformes et basculer entre elles en cas de défaillance.

AWS PrivateLink est pris en charge pour connecter votre VPC au point de terminaison Claude Platform sur AWS.

Quand choisir Bedrock : Les organisations des secteurs réglementés qui nécessitent une conformité FedRAMP High, IL4, IL5 ou HIPAA-ready, ou qui ont besoin qu'AWS soit le seul sous-traitant des données, doivent utiliser Claude dans Amazon Bedrock. Bedrock s'exécute entièrement sur une infrastructure contrôlée par AWS, avec AWS comme partie exploitante.



Configurer votre compte

La configuration de Claude Platform sur AWS se déroule en quatre phases : inscription sur la page de service de la Console AWS, finalisation de la configuration de votre organisation Anthropic, récupération de votre ID d'espace de travail et connexion à la Claude Console.



Dépannage de la configuration du compte

• « Sign-up failed: Failed to enable OutboundWebIdentityFederation » : Si vous voyez cette bannière lors de la première soumission, choisissez à nouveau Continue. L'activation IAM peut prendre un moment avant de prendre effet.
• Aucun indicateur de progression pendant l'inscription : L'inscription prend quelques minutes. La page affiche une bannière statique Sign-up in progress sans barre de progression pendant qu'AWS provisionne votre compte.
• « Signed in as a different account » après avoir suivi le lien de configuration : Choisissez Log out and continue. La page vous réauthentifie avec l'adresse e-mail que vous avez saisie.
• Message « Not found » pendant la connexion : Ce message peut apparaître brièvement pendant la redirection. Vous pouvez l'ignorer.
• La page d'utilisation n'affiche aucune donnée après votre premier appel API : Les données d'utilisation peuvent prendre quelques minutes avant d'apparaître dans la Claude Console.



Avant d'effectuer des appels API

Assurez-vous de disposer des éléments suivants :

1. Un compte AWS actif avec un abonnement à Claude Platform sur AWS (voir Configurer votre compte)
2. L'AWS CLI installée et configurée
3. La fédération d'identité web sortante activée sur votre compte AWS (une étape de configuration unique ; voir Activer la fédération d'identité web sortante)
4. Votre ID d'espace de travail (voir Obtenir votre ID d'espace de travail)



Activer la fédération d'identité web sortante

La passerelle Claude Platform sur AWS appelle sts:GetWebIdentityToken côté serveur pour générer un JWT qu'elle transmet à Anthropic. Cette capacité STS est désactivée par défaut sur chaque compte AWS. Activez-la une fois par compte :

aws iam enable-outbound-web-identity-federation

Si la réponse est [ERROR] (FeatureEnabled) ... already enabled, le paramètre est déjà activé pour votre compte et vous pouvez passer à la suite. Vérifiez et récupérez l'URL de l'émetteur de votre compte :

aws iam get-outbound-web-identity-federation-info



Obtenir votre ID d'espace de travail

Vous créez un espace de travail depuis la Console AWS après avoir terminé la configuration du compte (voir Configurer votre compte). Les espaces de travail sont liés à une seule région AWS. Vous pouvez trouver l'ID de l'espace de travail dans la Claude Console sous Workspaces ou dans la section Workspaces de la page de service de la Console AWS.

Définissez les variables d'environnement ANTHROPIC_AWS_WORKSPACE_ID et AWS_REGION afin que les clients SDK les lisent automatiquement :

export ANTHROPIC_AWS_WORKSPACE_ID='wrkspc_01AbCdEf23GhIj'
export AWS_REGION='us-west-2'  # Your workspace's AWS region

La région est obligatoire. Le client SDK génère une erreur si aucune région n'est définie. Passez aws_region/awsRegion au constructeur, ou définissez AWS_REGION (ou AWS_DEFAULT_REGION). Toutes les régions commerciales AWS sont prises en charge.



Authentification

Claude Platform sur AWS prend en charge deux méthodes d'authentification : AWS IAM avec signature de requête SigV4 (principale) et l'authentification par clé API. Les deux utilisent la même URL de base et le même format de requête.



Authentification SigV4

SigV4 est la voie native pour l'entreprise et s'intègre à vos politiques, rôles et audits AWS IAM existants. Configurez les identifiants AWS en utilisant n'importe quelle méthode prise en charge par la chaîne de fournisseurs d'identifiants par défaut AWS :

• Variables d'environnement (AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, AWS_SESSION_TOKEN)
• Fichier d'identifiants partagé (~/.aws/credentials)
• Fichier de configuration partagé (~/.aws/config) incluant SSO et credential_process
• Identité web (AWS_WEB_IDENTITY_TOKEN_FILE et AWS_ROLE_ARN) pour IRSA et GitHub Actions
• Identifiants de conteneur ECS
• Service de métadonnées d'instance EC2 (IMDS)

Vérifiez que vos identifiants fonctionnent :

aws sts get-caller-identity



Authentification par clé API

Pour des chemins d'intégration plus simples (développement local et scripts), vous pouvez vous authentifier avec une clé API au lieu de SigV4. Définissez la variable d'environnement ANTHROPIC_AWS_API_KEY ou passez apiKey au constructeur du SDK.

Générez des clés API dans la Console AWS sous Claude Platform on AWS → API keys. Choisissez Generate a key, puis copiez la valeur de la clé. Accordez l'action IAM aws-external-anthropic:CallWithBearerToken aux principaux qui doivent être autorisés à utiliser l'authentification par clé API.



Clés API à court terme

Pour les charges de travail qui doivent transmettre un identifiant à un processus distinct (tel qu'une passerelle LLM, une fonction serverless ou un outil qui prend en charge l'authentification par jeton bearer mais pas SigV4), générez une clé API à court terme à partir de vos identifiants AWS au lieu de provisionner une clé à longue durée de vie dans la Console AWS.

AWS publie des bibliothèques de génération de jetons pour JavaScript, Python et Java. Chaque bibliothèque lit vos identifiants AWS via la chaîne de fournisseurs standard et renvoie un jeton à durée limitée qui fonctionne avec l'en-tête x-api-key. La durée de vie du jeton est par défaut de 12 heures et est plafonnée au minimum entre la durée que vous demandez, l'expiration de vos identifiants AWS et 12 heures. Consultez les fichiers README des dépôts liés pour l'installation et les options de configuration complètes.

Passez le jeton généré au SDK de la même manière que vous passeriez une clé API générée par la Console AWS :

Si vous pouvez générer le jeton localement, votre processus dispose déjà d'identifiants SigV4, et l'authentification SigV4 est généralement le choix le plus simple. Utilisez des clés à court terme lorsque le processus effectuant les appels API est distinct du processus qui détient les identifiants AWS.

Le SDK ne rafraîchit pas automatiquement les clés à court terme. Lorsqu'un jeton expire, générez-en un nouveau et construisez un nouveau client. Le principal qui utilise le jeton a toujours besoin de l'action IAM aws-external-anthropic:CallWithBearerToken.



Priorité des identifiants

Le client spécifique à la plateforme résout l'authentification dans l'ordre suivant. Les noms d'arguments varient selon la convention du langage (TypeScript et PHP utilisent le camelCase comme indiqué ; Python et Ruby utilisent le snake_case ; Go utilise le PascalCase avec des acronymes en majuscules ; C# et Java utilisent les idiomes de propriété ou de builder du langage).

1. Argument de constructeur apiKey → en-tête x-api-key
2. Arguments de constructeur awsAccessKey + awsSecretAccessKey → AWS SigV4
3. Argument de constructeur awsProfile → AWS SigV4 avec profil nommé
4. Variable d'environnement ANTHROPIC_AWS_API_KEY → en-tête x-api-key
5. Chaîne de fournisseurs d'identifiants AWS par défaut → AWS SigV4



Résolution de la région

Le client lit AWS_REGION depuis l'environnement si aws_region/awsRegion n'est pas passé au constructeur, avec un repli sur AWS_DEFAULT_REGION pour la compatibilité avec les SDK AWS standard. La région est obligatoire ; il n'y a pas de valeur par défaut de repli. Contrairement à AnthropicBedrock, qui se replie sur us-east-1, le client AnthropicAWS/AnthropicAws génère une erreur si ni l'argument du constructeur ni la variable d'environnement ne sont définis.



Installer un SDK

Les SDK clients d'Anthropic prennent en charge Claude Platform sur AWS. Chaque SDK fournit une classe client spécifique à la plateforme qui gère la signature SigV4, la construction de l'URL de base basée sur la région et l'en-tête anthropic-workspace-id.



Modèles disponibles

Les modèles suivants sont disponibles sur Claude Platform sur AWS :

Les ID de modèle sont identiques à ceux de l'API Claude propriétaire. Il n'y a pas d'ARN de style Bedrock ni de préfixes anthropic..

Les nouveaux modèles sont lancés sur Claude Platform sur AWS simultanément avec l'API Claude propriétaire.



Effectuer des requêtes

Claude Platform sur AWS utilise les mêmes points de terminaison d'API que l'API Claude propriétaire. Les différences sont l'URL de base, la méthode d'authentification et un en-tête anthropic-workspace-id obligatoire qui identifie l'espace de travail ciblé par la requête.

Le client lit AWS_REGION (ou AWS_DEFAULT_REGION) et ANTHROPIC_AWS_WORKSPACE_ID depuis l'environnement. Vous pouvez remplacer l'un ou l'autre en passant aws_region / awsRegion ou workspace_id / workspaceId au constructeur. La région et l'ID d'espace de travail sont tous deux obligatoires. Le constructeur génère une erreur si l'ID d'espace de travail ne peut pas être résolu ; une région manquante génère également une erreur.

La valeur --aws-sigv4 suit le format aws:amz:<region>:<service>. Le nom de service SigV4 est aws-external-anthropic, et la région doit correspondre à la région dans l'URL de votre point de terminaison. Une incohérence dans l'un ou l'autre produit une erreur générique de rejet de signature plutôt qu'un diagnostic spécifique.



Fenêtre de contexte

Les tailles de « context window » (fenêtre de contexte) sur Claude Platform sur AWS sont identiques à celles de l'API Claude propriétaire. Voir Fenêtres de contexte pour les limites par modèle.



Prise en charge des fonctionnalités

Claude Platform sur AWS utilise directement les points de terminaison de l'API Claude, ce qui signifie que vous obtenez une parité complète des fonctionnalités avec l'API Claude propriétaire (sauf indication contraire dans les limitations des fonctionnalités) :

• Accès aux fonctionnalités : Comme Anthropic exploite les deux plateformes, la plupart des nouvelles fonctionnalités et des en-têtes bêta deviennent disponibles sur Claude Platform sur AWS sans étape d'intégration distincte. Voir limitations des fonctionnalités pour les exceptions.
• Fonctionnalités bêta : Passez l'en-tête standard anthropic-beta pour accéder aux fonctionnalités bêta, comme vous le feriez avec l'API Claude.
• Agent Skills : Utilisez des Agent Skills prédéfinis et personnalisés avec le même paramètre container.skills et les mêmes en-têtes bêta que l'API Claude. Tous les Skills prédéfinis (PowerPoint, Excel, Word, PDF) fonctionnent immédiatement.
• Exécution de code : Exécutez du code dans le bac à sable géré par Anthropic à l'aide de l'outil d'exécution de code.
• Utilisation d'outils : L'utilisation de l'ordinateur et toutes les autres capacités d'utilisation d'outils sont disponibles.
• Réflexion étendue : Activez la réflexion étendue avec les mêmes paramètres que l'API Claude.

Voir le tableau comparatif pour les différences de disponibilité des fonctionnalités par rapport à Amazon Bedrock.



Claude Managed Agents

Claude Managed Agents est disponible sur Claude Platform sur AWS, y compris les agents, les environnements, les sessions, les coffres d'identifiants, les magasins de mémoire, les webhooks, l'orchestration multi-agents et les bacs à sable auto-hébergés.

Le comportement des sessions sur Claude Platform sur AWS diffère de Claude Managed Agents propriétaire sur un point :

• Réauthentification des sessions autonomes : Une session peut s'exécuter de manière autonome, sans aucun événement utilisateur, pendant un maximum de 6 heures. Après 6 heures, la session nécessite une réauthentification avant de continuer. Pour réauthentifier, envoyez n'importe quel événement de rôle utilisateur à la session (voir Événements et streaming). Claude Managed Agents propriétaire n'a pas de limite de durée d'exécution pour les sessions autonomes.



Fonctionnalités non prises en charge

Les capacités suivantes ne sont pas actuellement disponibles sur Claude Platform sur AWS :

• Conformité HIPAA : Le programme HIPAA-ready d'Anthropic n'est pas disponible. Voir API et conservation des données.

• API Admin : Les points de terminaison d'espace de travail (création, récupération, liste, mise à jour et archivage sur /v1/organizations/workspaces) sont disponibles. Les autres points de terminaison de l'API Admin (membres de l'organisation, membres de l'espace de travail, invitations, clés API, rapports d'utilisation, rapports de coûts, rapports de limite de débit et clés externes) ne sont pas actuellement disponibles. Gérez les clés CMEK dans la Claude Console à la place. Consultez les données d'utilisation et de coûts dans la Claude Console à la place. AWS IAM gère l'appartenance à l'organisation.
• Gestion des membres d'espace de travail : L'ajout ou la suppression d'utilisateurs dans des espaces de travail individuels n'est pas disponible. Les politiques AWS IAM sur les ARN d'espace de travail contrôlent l'accès.
• Limites de dépenses : Non disponibles. Utilisez plutôt les contrôles de facturation AWS.
• Espace de travail Claude Code et API Analytics : L'espace de travail Claude Code avec limites de débit automatiques n'est pas disponible. L'utilisation de Claude Code apparaît dans la vue d'utilisation générale plutôt que sur un écran dédié.
• Authentification OAuth : Non prise en charge. Utilisez l'authentification SigV4 ou par clé API.
• Mode rapide : Non disponible sur Claude Platform sur AWS.



Résidence des données

Claude Platform sur AWS prend en charge les zones géographiques d'inférence suivantes :

• US : L'inférence reste dans les centres de données américains. Un multiplicateur de prix de 1,1x s'applique.
• Global : L'inférence peut être acheminée vers n'importe quel centre de données exploité par Anthropic dans le monde. La tarification standard s'applique.

Définissez la zone géographique d'inférence par requête avec le paramètre inference_geo :

Si vous omettez inference_geo, la requête utilise le default_inference_geo de l'espace de travail s'il est configuré, sinon global.

Les contrôles de zone géographique d'inférence au niveau de l'espace de travail (allowed_inference_geos et default_inference_geo) sont également disponibles sur Claude Platform sur AWS. Voir Restrictions au niveau de l'espace de travail.



Espaces de travail

Les requêtes d'inférence et de ressources sur Claude Platform sur AWS ciblent un espace de travail. Vous passez l'ID de l'espace de travail dans l'en-tête anthropic-workspace-id sur ces appels API. Les ID d'espace de travail utilisent le format balisé wrkspc_ suivi d'un identifiant alphanumérique (par exemple, wrkspc_01AbCdEf23GhIj). Voir Obtenir votre ID d'espace de travail si vous ne l'avez pas encore.



Portée des espaces de travail

Les espaces de travail sont liés à une seule région AWS. Un espace de travail créé dans us-west-2 n'est accessible que via le point de terminaison us-west-2. L'utilisation, les quotas, les coûts, les fichiers, les lots et les Skills sont tous agrégés par espace de travail, ce qui vous donne des ventilations par région dans la Claude Console.

Les espaces de travail servent également de ressource IAM principale pour Claude Platform sur AWS. Vous accordez ou refusez l'accès à des espaces de travail spécifiques via des politiques AWS IAM en utilisant l'ARN de l'espace de travail. Le segment de ressource de l'ARN est le même ID préfixé par wrkspc_ que vous passez dans l'en-tête anthropic-workspace-id :

arn:aws:aws-external-anthropic:{region}:{account-id}:workspace/{workspace-id}

Par exemple :

arn:aws:aws-external-anthropic:us-west-2:123456789012:workspace/wrkspc_01AbCdEf23GhIj

Voir Politiques IAM pour des exemples de politiques.



Gestion des espaces de travail

Créez des espaces de travail supplémentaires, renommez un espace de travail ou archivez un espace de travail depuis la page Workspaces de la Console AWS ou avec les points de terminaison d'espace de travail de l'API Admin. Un nouvel espace de travail est lié à la région AWS du point de terminaison que vous appelez pour le créer (voir Portée des espaces de travail). La page Workspaces de la Claude Console est en lecture seule.



Utilisation de la Claude Console

Claude Platform sur AWS utilise la Claude Console standard à l'adresse platform.claude.com. Lorsque vous vous connectez depuis la Console AWS, un indicateur Account managed by AWS apparaît en bas à gauche de la barre latérale de la Claude Console et la Console est limitée à votre organisation Claude Platform sur AWS. Elle fournit des analyses d'utilisation, des ventilations de coûts, une visibilité sur les limites de débit, une visibilité sur les espaces de travail et des pages pour gérer les fichiers, les Agent Skills, les tâches par lots et les ressources Claude Managed Agents (agents, sessions, environnements, coffres d'identifiants, magasins de mémoire et webhooks).



Connexion

L'accès à la Claude Console est fédéré via AWS IAM. Voir Configurer votre compte pour le flux complet de première connexion. En résumé :

1. Assumez un rôle IAM avec l'autorisation aws-external-anthropic:AssumeConsole. Voir Actions IAM pour Claude Platform sur AWS.
2. Accédez à la page Claude Platform on AWS dans la Console AWS.
3. Choisissez Open Claude Console. La Console AWS émet un JWT et vous redirige vers platform.claude.com.
4. Lors de la première connexion, une adresse e-mail vous est demandée ; saisissez votre adresse e-mail professionnelle. La plateforme provisionne votre utilisateur Claude Console à la volée.

Deux rôles Claude Console sont disponibles : Admin et Developer. Le rôle Admin accorde l'accès à toutes les pages et tous les paramètres de la Claude Console disponibles pour Claude Platform sur AWS. Le rôle Developer accorde un accès en lecture aux informations d'utilisation, de coûts, de limite de débit et d'espace de travail. Contactez votre représentant de compte Anthropic pour attribuer le rôle Admin ou Developer à un principal.



Pages disponibles

La colonne Via la passerelle AWS indique si la page lit et écrit des données via la passerelle AWS (et est donc régie par les actions IAM). Les pages marquées Non lisent les métadonnées au niveau de l'organisation directement depuis Anthropic et contournent les vérifications d'actions IAM.



Changement d'organisation

La Claude Console ne prend pas en charge le changement d'organisation pour Claude Platform on AWS. Pour accéder à une autre organisation, déconnectez-vous et réauthentifiez-vous via la console AWS en utilisant le rôle IAM du compte AWS de cette organisation.



Limites de débit et quotas

Claude Platform on AWS attribue des limites de débit de niveau 1 lors de l'inscription. Anthropic gère directement les limites de débit, et non via les systèmes de quotas AWS.

Contrairement à l'API Claude de première partie, l'avancement automatique de niveau ne s'applique pas. Si vous avez besoin de limites plus élevées, contactez votre représentant de compte Anthropic. Pour les détails des niveaux et les limites par modèle, consultez Limites de débit.



Facturation

Claude Platform on AWS facture via AWS Marketplace. L'utilisation est libellée en « Claude Consumption Units » (unités de consommation Claude), ou CCU, mesurée toutes les heures et facturée mensuellement à terme échu sur votre facture AWS. Les CCU ne sont pas des crédits prépayés ; il n'existe ni solde ni engagement de CCU.

Pour le prix des CCU, les mécanismes de conversion, l'application des remises et les tarifs de tokens par modèle, consultez Tarification de Claude Platform on AWS.



Surveillance et journalisation

AWS CloudTrail peut capturer toutes les requêtes adressées à Claude Platform on AWS. Les opérations sur les espaces de travail, les coffres et les webhooks sont journalisées en tant qu'événements de gestion (Management events) par défaut. Les opérations d'inférence, de traitement par lots, de fichiers, de compétences, de modèles, de profils utilisateur et de Claude Managed Agents (autres que les coffres et les webhooks) sont classées comme événements de données (Data events) et nécessitent une configuration explicite de la journalisation des événements de données, ce qui entraîne des frais CloudTrail supplémentaires. Consultez la référence des actions IAM pour la classification complète des types d'événements et la documentation AWS CloudTrail pour les détails de configuration.



Identifiants de requête

Chaque réponse inclut deux identifiants de requête dans les en-têtes de réponse :

• Identifiant de requête AWS (x-amzn-requestid) : L'identifiant principal, indexé dans CloudTrail. Utilisez-le lorsque vous examinez des requêtes via les outils AWS ou lorsque vous contactez le support AWS.
• Identifiant de requête Anthropic (request-id) : L'identifiant secondaire. Utilisez-le lorsque vous contactez le support Anthropic.

Anthropic recommande de journaliser votre activité sur une base glissante d'au moins 30 jours afin de comprendre les schémas d'utilisation et d'examiner tout problème potentiel.



Migration depuis Amazon Bedrock

Si vous utilisez actuellement Claude sur Bedrock, la migration vers Claude Platform on AWS nécessite des modifications dans l'ensemble de votre intégration. La signature SigV4 reste prise en charge, mais le contexte de signature, l'URL de base, le format d'API, les identifiants de modèle, le client et le package SDK, le format de streaming, les en-têtes de requête et la disponibilité régionale changent tous. Le tableau suivant résume les différences.



Ce qui change

Le delta de migration dépend de l'intégration Bedrock dont vous provenez. Le tableau suivant présente à la fois l'intégration Bedrock actuelle (API Messages à bedrock-mantle.{region}.api.aws) et l'intégration InvokeModel héritée.

Si vous utilisez l'intégration Bedrock actuelle, le format du corps de requête est déjà celui de l'API Messages ; les changements concernent l'URL de base, le nom de service SigV4, les identifiants de modèle et l'ajout de l'en-tête anthropic-workspace-id. Si vous utilisez l'API InvokeModel ou Converse héritée, vous devrez également réécrire les formats de requête et de réponse au format de l'API Messages. Consultez Claude sur Amazon Bedrock (hérité) pour la correspondance des formats de requête.



Ce que vous gagnez

• Accès généralement le jour même aux nouveaux modèles et fonctionnalités (voir limitations de fonctionnalités)
• Agent Skills pour la génération de documents (PowerPoint, Excel, Word, PDF)
• Exécution de code dans le bac à sable géré par Anthropic
• Fonctionnalités bêta via l'en-tête anthropic-beta (voir limitations de fonctionnalités)
• Claude Console pour la visibilité des quotas et l'analyse de l'utilisation
• Support direct d'Anthropic
• Authentification par clé API comme alternative à SigV4 (voir Authentification par clé API)



Ce qui reste identique

• Authentification AWS IAM (SigV4)
• AWS comme partie facturante (le canal de facturation passe du service AWS natif à AWS Marketplace ; voir Considérations commerciales)
• Consommation des engagements AWS



Pièges de migration



Considérations commerciales

• Conditions d'utilisation d'Anthropic : L'utilisation de Claude Platform on AWS nécessite l'acceptation des Conditions commerciales d'utilisation et de la Politique d'utilisation d'Anthropic. Si votre organisation ne les a pas déjà acceptées (par exemple, si vous n'avez utilisé Claude que via Bedrock), vous y serez invité lors de la configuration du compte. Voir Configurer votre compte.
• Remises et offres privées : Les remises négociées et les offres privées AWS Marketplace ne sont pas transférées automatiquement entre Bedrock et Claude Platform on AWS. Collaborez avec votre représentant de compte Anthropic pour établir les conditions commerciales de Claude Platform on AWS.



Politiques IAM

Claude Platform on AWS s'intègre à AWS IAM pour le contrôle d'accès. Vous accordez ou refusez l'accès à des actions d'API spécifiques sur des espaces de travail spécifiques en utilisant la syntaxe standard des politiques IAM.

Le nom de service SigV4 et l'espace de noms des actions IAM est aws-external-anthropic. Les actions suivent le modèle aws-external-anthropic:<Action> (par exemple, aws-external-anthropic:CreateInference).



Exemple : refuser l'inférence par lots

La politique suivante autorise l'inférence en temps réel tout en bloquant le traitement par lots :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "aws-external-anthropic:CreateInference",
        "aws-external-anthropic:CountTokens",
        "aws-external-anthropic:GetModel",
        "aws-external-anthropic:ListModels",
        "aws-external-anthropic:GetWorkspace"
      ],
      "Resource": "arn:aws:aws-external-anthropic:*:*:workspace/*"
    },
    {
      "Effect": "Allow",
      "Action": "aws-external-anthropic:ListWorkspaces",
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "aws-external-anthropic:CreateBatchInference",
        "aws-external-anthropic:GetBatchInference",
        "aws-external-anthropic:ListBatchInferences"
      ],
      "Resource": "*"
    }
  ]
}

L'action GetBatchInference autorise à la fois la route des métadonnées de lot et la route des résultats de lot. La refuser bloque les deux lectures. Pour une politique de type Deny uniquement adaptée aux charges de travail sensibles à la ZDR, consultez Verrouillage des fonctionnalités pour un espace de travail sensible à la ZDR.



Politiques gérées

AWS fournit cinq politiques gérées (AnthropicFullAccess, AnthropicReadOnlyAccess, AnthropicInferenceAccess, AnthropicLimitedAccess et AnthropicSelfHostedEnvironmentAccess) pour les modèles d'accès courants. Pour les actions accordées par chaque politique, la liste complète des actions IAM, la correspondance route-action et des exemples de politiques supplémentaires, consultez Actions IAM pour Claude Platform on AWS.



Ressources supplémentaires

• Claude Console pour Claude Platform on AWS : platform.claude.com (accès via la console AWS)
• Détails de tarification : Tarification
• Bedrock (Claude exploité par AWS) : Claude dans Amazon Bedrock
• AWS Marketplace : aws.amazon.com/marketplace