AdministrationClés de chiffrement

Clés de chiffrement gérées par le client

Chiffrez les données d'espace de travail Claude au repos avec une clé que vous contrôlez.

Learn more with the /claude-api skill in Claude Code

claude "/claude-api tell me about customer-managed encryption keys"

Une « customer-managed encryption key » (clé de chiffrement gérée par le client), ou CMEK, vous permet de provisionner une clé de chiffrement dans votre propre AWS KMS, Google Cloud KMS ou Azure Key Vault, et de demander à Anthropic de l'utiliser pour chiffrer certaines données d'espace de travail au repos. Vous conservez le contrôle total de la clé, y compris la rotation, l'audit et la révocation, et les opérations de clé qu'Anthropic effectue sur votre clé sont enregistrées dans les journaux d'audit de votre fournisseur cloud.

Les organisations peuvent choisir d'utiliser des clés de chiffrement gérées par le client au lieu du chiffrement par défaut fourni par Anthropic.

Fonctionnement

CMEK est attachée par espace de travail. Seuls les administrateurs peuvent la configurer. CMEK protège les données écrites après l'activation de la clé. Les données existantes (conversations, fichiers et sessions antérieurs) restent chiffrées avec des clés gérées par Anthropic et ne sont pas rechiffrées avec votre clé.

Les événements de configuration administrateur CMEK apparaissent dans le flux d'activité de l'API de conformité. Les opérations de clé qu'Anthropic effectue sur votre clé (telles que l'encapsulation et la désencapsulation des clés de données) n'apparaissent pas dans l'API de conformité ; elles apparaissent dans les journaux d'audit de votre fournisseur cloud.

Prérequis

Accès administrateur cloud dans le compte, le projet ou l'abonnement qui hébergera la clé de chiffrement.
Un rôle d'administrateur d'organisation dans la Claude Console (ou propriétaire / propriétaire principal).

Disponibilité et régions

CMEK est actuellement disponible uniquement dans les régions américaines, et toutes les opérations de chiffrement sont traitées dans les régions américaines. Les clés multirégions et la résidence des clés dans l'UE ne sont pas encore prises en charge.

Sur Claude Platform sur AWS, CMEK est disponible uniquement avec des clés AWS KMS ; les clés Google Cloud KMS et Azure Key Vault ne peuvent pas être enregistrées. Créez, validez et attachez les clés dans la Claude Console ; les points de terminaison d'API external_keys ne sont pas actuellement disponibles sur Claude Platform sur AWS. La clé doit se trouver dans la même région AWS que l'espace de travail auquel elle est attachée.

CMEK n'est actuellement pas prise en charge pour les organisations ayant activé HIPAA. La prise en charge de l'utilisation conjointe de CMEK et de HIPAA est prévue. Si votre organisation a activé HIPAA, contactez votre représentant Anthropic avant de configurer CMEK.

Pour une latence minimale, choisissez une région proche de l'infrastructure américaine d'Anthropic :

Fournisseur	Régions recommandées
AWS	`us-east-2`
Google Cloud	`us-central1`, `us-east5`
Azure	`northcentralus`, `eastus2`

Ce que CMEK protège

Chiffré

Le contenu des messages, y compris les pièces jointes de fichiers en ligne envoyées avec une requête, ainsi que la configuration MCP et des outils.
Les sauvegardes et les instantanés héritent de la clé.

Désactivé ou modifié

Certaines fonctionnalités sont désactivées ou substantiellement modifiées lorsque CMEK est activée :

La mémoire d'agent gérée et le « dreaming » d'agent sont désactivés.
Les fonctionnalités bêta et en aperçu de recherche peuvent ne pas être couvertes par CMEK.

Non chiffré

Ces fonctionnalités restent disponibles, mais leurs données ne sont pas chiffrées avec votre clé. Vous pouvez désactiver dans les paramètres toute fonctionnalité qui n'est pas appropriée pour votre cas d'usage.

Workbench dans la Console.
Les données qui ne sont pas au repos (telles que le cache) et les données dont la durée de vie (TTL) est inférieure à 24 heures.
Le flux d'activité, les journaux d'audit et le trafic réseau de télémétrie comme OTEL, afin que les clients puissent maintenir leur conformité même si une clé est révoquée.

Prise en charge des fonctionnalités

Les API, ressources d'agents gérés et outils suivants stockent les données au repos sous votre clé lorsque CMEK est activée :

API	Agents gérés	Outils et fonctionnalités
Messages	Agents	Recherche web
Models	Environments	Récupération web
Files	Sessions	Exécution de code
Batch	Vaults	Outil Bash
Skills		Outil d'éditeur de texte
User profiles		Connecteur MCP
		Sorties structurées (Claude Sonnet 4.6 et Claude Haiku 4.5 uniquement)
		Outil Advisor
		Utilisation de l'ordinateur
		Gestion du contexte

Limitations

Action irréversible : une fois qu'une clé est attachée à un espace de travail, elle ne peut pas être détachée ni remplacée. La rotation du matériel de clé au sein de la même clé (par exemple, la rotation automatique AWS KMS, un calendrier de rotation Cloud KMS ou une politique de rotation Azure Key Vault) est prise en charge de manière transparente et ne nécessite aucune modification chez Anthropic. Passer à une clé différente nécessite de créer un nouvel espace de travail avec la nouvelle clé et de migrer vos données. La révocation ou la désactivation de la clé rend toutes les données protégées par CMEK dans cet espace de travail définitivement inaccessibles, sans possibilité de retour en arrière.
Pas de chiffrement rétroactif : CMEK protège uniquement les données écrites après l'activation de la clé.
Latence : les opérations qui encapsulent ou désencapsulent des clés de données effectuent un aller-retour vers votre service de gestion de clés, ce qui peut ajouter une légère latence aux actions qui lisent ou écrivent des données au repos.
Délai de révocation : la révocation de la clé peut prendre jusqu'à une heure (la durée de vie du cache). Les requêtes déjà en cours pendant cette fenêtre peuvent continuer à aboutir.

Configurer votre fournisseur

Suivez le guide correspondant au service de gestion de clés que vous utilisez.

AWS KMS

Créez une clé AWS KMS avec une politique de clé inter-comptes, puis enregistrez-la et validez-la.

Google Cloud KMS

Créez une clé cryptographique Cloud KMS, accordez l'accès au compte de service d'Anthropic, puis enregistrez-la.

Azure Key Vault

Créez une clé RSA, accordez l'accès au principal de service Anthropic, puis enregistrez-la et validez-la.

Was this page helpful?

AdministrationClés de chiffrement

Clés de chiffrement gérées par le client

Chiffrez les données d'espace de travail Claude au repos avec une clé que vous contrôlez.

Learn more with the /claude-api skill in Claude Code

claude "/claude-api tell me about customer-managed encryption keys"

Les organisations peuvent choisir d'utiliser des clés de chiffrement gérées par le client au lieu du chiffrement par défaut fourni par Anthropic.

Fonctionnement

Prérequis

Accès administrateur cloud dans le compte, le projet ou l'abonnement qui hébergera la clé de chiffrement.
Un rôle d'administrateur d'organisation dans la Claude Console (ou propriétaire / propriétaire principal).

Disponibilité et régions

Pour une latence minimale, choisissez une région proche de l'infrastructure américaine d'Anthropic :

Fournisseur	Régions recommandées
AWS	`us-east-2`
Google Cloud	`us-central1`, `us-east5`
Azure	`northcentralus`, `eastus2`

Ce que CMEK protège

Chiffré

Le contenu des messages, y compris les pièces jointes de fichiers en ligne envoyées avec une requête, ainsi que la configuration MCP et des outils.
Les sauvegardes et les instantanés héritent de la clé.

Désactivé ou modifié

Certaines fonctionnalités sont désactivées ou substantiellement modifiées lorsque CMEK est activée :

La mémoire d'agent gérée et le « dreaming » d'agent sont désactivés.
Les fonctionnalités bêta et en aperçu de recherche peuvent ne pas être couvertes par CMEK.

Non chiffré

Workbench dans la Console.
Les données qui ne sont pas au repos (telles que le cache) et les données dont la durée de vie (TTL) est inférieure à 24 heures.
Le flux d'activité, les journaux d'audit et le trafic réseau de télémétrie comme OTEL, afin que les clients puissent maintenir leur conformité même si une clé est révoquée.

Prise en charge des fonctionnalités

Les API, ressources d'agents gérés et outils suivants stockent les données au repos sous votre clé lorsque CMEK est activée :

API	Agents gérés	Outils et fonctionnalités
Messages	Agents	Recherche web
Models	Environments	Récupération web
Files	Sessions	Exécution de code
Batch	Vaults	Outil Bash
Skills		Outil d'éditeur de texte
User profiles		Connecteur MCP
		Sorties structurées (Claude Sonnet 4.6 et Claude Haiku 4.5 uniquement)
		Outil Advisor
		Utilisation de l'ordinateur
		Gestion du contexte

Limitations

Action irréversible : une fois qu'une clé est attachée à un espace de travail, elle ne peut pas être détachée ni remplacée. La rotation du matériel de clé au sein de la même clé (par exemple, la rotation automatique AWS KMS, un calendrier de rotation Cloud KMS ou une politique de rotation Azure Key Vault) est prise en charge de manière transparente et ne nécessite aucune modification chez Anthropic. Passer à une clé différente nécessite de créer un nouvel espace de travail avec la nouvelle clé et de migrer vos données. La révocation ou la désactivation de la clé rend toutes les données protégées par CMEK dans cet espace de travail définitivement inaccessibles, sans possibilité de retour en arrière.
Pas de chiffrement rétroactif : CMEK protège uniquement les données écrites après l'activation de la clé.
Latence : les opérations qui encapsulent ou désencapsulent des clés de données effectuent un aller-retour vers votre service de gestion de clés, ce qui peut ajouter une légère latence aux actions qui lisent ou écrivent des données au repos.
Délai de révocation : la révocation de la clé peut prendre jusqu'à une heure (la durée de vie du cache). Les requêtes déjà en cours pendant cette fenêtre peuvent continuer à aboutir.

Configurer votre fournisseur

Suivez le guide correspondant au service de gestion de clés que vous utilisez.

AWS KMS

Créez une clé AWS KMS avec une politique de clé inter-comptes, puis enregistrez-la et validez-la.

Google Cloud KMS

Créez une clé cryptographique Cloud KMS, accordez l'accès au compte de service d'Anthropic, puis enregistrez-la.

Azure Key Vault

Créez une clé RSA, accordez l'accès au principal de service Anthropic, puis enregistrez-la et validez-la.

Was this page helpful?

L'activation de CMEK est permanente et peut entraîner une perte de données irréversible

Fonctionnement

Prérequis

Disponibilité et régions

Ce que CMEK protège

Chiffré

Désactivé ou modifié

Non chiffré

Prise en charge des fonctionnalités

Limitations

Configurer votre fournisseur

L'activation de CMEK est permanente et peut entraîner une perte de données irréversible

Fonctionnement

Prérequis

Disponibilité et régions

Ce que CMEK protège

Chiffré

Désactivé ou modifié

Non chiffré

Prise en charge des fonctionnalités

Limitations

Configurer votre fournisseur