AdministrationAuthentification

Authentification

Authentifiez-vous auprès de l'API Claude avec des clés API ou Workload Identity Federation.

L'API Claude prend en charge deux méthodes d'authentification des requêtes :

Méthode	Identifiant	Idéal pour
Clé API	Secret à longue durée de vie `sk-ant-api...` dans l'en-tête `x-api-key`	Développement local, prototypage, scripts et serveurs mono-locataires où vous contrôlez le stockage des secrets
Workload Identity Federation	Jeton porteur à courte durée de vie échangé à partir du jeton d'identité de votre fournisseur d'identité	Charges de travail de production sur des plateformes cloud (AWS, Google Cloud, Azure), pipelines CI/CD et Kubernetes, où vous souhaitez éliminer les secrets statiques

Les deux méthodes accordent le même accès aux points de terminaison de l'API Claude. Choisissez les clés API pour démarrer rapidement, puis passez à Workload Identity Federation lorsque votre charge de travail dispose déjà d'une identité émise par la plateforme que vous pouvez fédérer.

Clés API

Les clés API sont des secrets statiques que vous générez dans la Claude Console et que vous transmettez à chaque requête.

Créer une clé : Accédez à Paramètres → Clés API dans la Claude Console. Utilisez les espaces de travail pour limiter la portée des clés par projet ou par environnement.
Envoyer la clé : Définissez l'en-tête x-api-key sur les requêtes HTTP directes, ou définissez la variable d'environnement ANTHROPIC_API_KEY et les SDK clients la récupéreront automatiquement.

POST /v1/messages
x-api-key: YOUR_API_KEY
anthropic-version: 2023-06-01
content-type: application/json

Les clés API n'ont pas de date d'expiration. Stockez-les dans un gestionnaire de secrets, effectuez une rotation périodique et révoquez toute clé que vous soupçonnez d'avoir été divulguée.

client = Anthropic(api_key="my-anthropic-api-key")
# ou, avec ANTHROPIC_API_KEY définie dans l'environnement :
client = Anthropic()

Workload Identity Federation

« Workload Identity Federation » (fédération d'identité de charge de travail), ou WIF, permet à une charge de travail de s'authentifier avec un jeton d'identité à courte durée de vie émis par un fournisseur d'identité (IdP) auquel vous faites déjà confiance, tel qu'AWS IAM, Google Cloud ou tout émetteur OIDC conforme aux normes (comme GitHub Actions, les comptes de service Kubernetes, SPIFFE, Microsoft Entra ID ou Okta). La charge de travail échange son JWT émis par l'IdP via POST /v1/oauth/token contre un jeton d'accès à l'API Claude à courte durée de vie, et le SDK actualise automatiquement ce jeton avant son expiration. Il n'y a aucune chaîne sk-ant-api... à générer, distribuer ou faire tourner.

La fédération supprime les clés API Claude à longue durée de vie de votre environnement, ce qui réduit le rayon d'impact d'un identifiant divulgué et vous permet de gérer l'accès avec les mêmes contrôles IdP que vous utilisez déjà pour les ressources cloud. Elle ne garantit pas, à elle seule, une sécurité de bout en bout : la chaîne de confiance n'est aussi solide que la configuration de votre fournisseur d'identité, et un secret à longue durée de vie situé un niveau en amont (par exemple, un identifiant cloud statique capable de générer des jetons IdP) peut toujours la compromettre. Associez la fédération aux contrôles de votre fournisseur, tels que les listes d'autorisation d'adresses IP, l'authentification multifacteur (MFA) et la journalisation d'audit.

Pour configurer la fédération, vous créez trois ressources dans la Claude Console (un compte de service, un émetteur de fédération et une règle de fédération), puis vous pointez votre SDK vers la règle. Consultez Workload Identity Federation pour la procédure de configuration complète.

Étapes suivantes

Configurer Workload Identity Federation

Configurez les émetteurs, les règles et les comptes de service, puis échangez des jetons

Guides des fournisseurs d'identité

Guides étape par étape pour AWS, Google Cloud, Azure, GitHub Actions, Kubernetes, SPIFFE et Okta

Référence WIF

Variables d'environnement, règles de validation, configuration de profil et référence des erreurs

SDK clients

Python, TypeScript, C#, Go, Java, PHP, Ruby et la CLI

Was this page helpful?

Méthode

Identifiant

Idéal pour

Clé API

Secret à longue durée de vie sk-ant-api... dans l'en-tête x-api-key

Développement local, prototypage, scripts et serveurs mono-locataires où vous contrôlez le stockage des secrets

Workload Identity Federation

Jeton porteur à courte durée de vie échangé à partir du jeton d'identité de votre fournisseur d'identité

Charges de travail de production sur des plateformes cloud (AWS, Google Cloud, Azure), pipelines CI/CD et Kubernetes, où vous souhaitez éliminer les secrets statiques

Clés API

Les clés API sont des secrets statiques que vous générez dans la Claude Console et que vous transmettez à chaque requête.

Créer une clé : Accédez à Paramètres → Clés API dans la Claude Console. Utilisez les espaces de travail pour limiter la portée des clés par projet ou par environnement.

Envoyer la clé : Définissez l'en-tête x-api-key sur les requêtes HTTP directes, ou définissez la variable d'environnement ANTHROPIC_API_KEY et les SDK clients la récupéreront automatiquement.

POST /v1/messages
x-api-key: YOUR_API_KEY
anthropic-version: 2023-06-01
content-type: application/json

Les clés API n'ont pas de date d'expiration. Stockez-les dans un gestionnaire de secrets, effectuez une rotation périodique et révoquez toute clé que vous soupçonnez d'avoir été divulguée.

client = Anthropic(api_key="my-anthropic-api-key")
# ou, avec ANTHROPIC_API_KEY définie dans l'environnement :
client = Anthropic()

Workload Identity Federation