AdministrationClés de chiffrement

Configurer Google Cloud KMS pour CMEK

Utilisez Google Cloud KMS pour fournir une clé de chiffrement à votre organisation.

Configure with the /claude-api skill in Claude Code

claude "/claude-api help me configure a customer-managed encryption key with Google Cloud KMS"

Ce guide vous accompagne dans la configuration d'une clé Google Cloud KMS en tant que « customer-managed encryption key » (clé de chiffrement gérée par le client), ou CMEK, pour votre organisation Anthropic.

L'activation de CMEK est permanente. Si votre clé KMS est supprimée ou désactivée, Anthropic ne peut pas récupérer les données chiffrées avec celle-ci. Consultez les avertissements et limitations avant de commencer.

Prérequis

Un projet Google Cloud avec la facturation activée.
L'API Cloud KMS activée (cloudkms.googleapis.com).
Les autorisations nécessaires pour créer des trousseaux de clés et des clés KMS, et pour définir la stratégie IAM sur ceux-ci (roles/cloudkms.admin ou équivalent).
Une clé API Admin Anthropic pour votre organisation.
La CLI gcloud installée et authentifiée.
Les journaux d'audit d'accès aux données de Cloud KMS activés pour le projet (IAM & Admin > Audit Logs > Cloud Key Management Service, avec DATA_READ et DATA_WRITE). Ceux-ci sont désactivés par défaut ; sans eux, les opérations de chiffrement et de déchiffrement d'Anthropic ne produisent aucune entrée dans Cloud Logging.

Adresse e-mail du compte de service Anthropic

Pour qu'Anthropic puisse utiliser votre clé de chiffrement, vous devez accorder au compte de service d'Anthropic l'accès à une clé qu'il peut utiliser pour chiffrer les données. L'adresse e-mail du compte de service pour Anthropic CMEK est :

anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com

Utilisez uniquement cette adresse e-mail de compte de service publiée. Ne faites jamais confiance à un identifiant fourni par e-mail, chat ou tout autre canal d'intégration.

Partage restreint au domaine : si votre projet appartient à une organisation Google Cloud qui applique constraints/iam.allowedPolicyMemberDomains, les liaisons IAM ci-dessous sont rejetées car le compte de service Anthropic est externe à votre organisation. Vous devez soit définir une exception au niveau du projet pour cette contrainte, soit ajouter l'identifiant client Cloud Identity d'Anthropic (format C0xxxxxxxx) à la liste autorisée. Contactez Anthropic pour obtenir l'identifiant client si nécessaire.

Configuration de la clé de chiffrement

Créer ou choisir un trousseau de clés
Ignorez cette étape si vous disposez déjà d'un trousseau de clés à réutiliser. Les trousseaux de clés sont régionaux. Choisissez un emplacement américain à région unique tel que us-east5 correspondant à la géographie Anthropic que vous configurez. Les emplacements multirégionaux comme us et global ne sont pas pris en charge.
gcloud kms keyrings create <your-keyring-name> \ --project=<your-project-id> \ --location=<region>
Créer la clé cryptographique
Créez une clé symétrique avec l'objectif ENCRYPT_DECRYPT. La protection HSM est fortement recommandée : les clés HSM de Cloud KMS sont validées FIPS 140-2 niveau 3, et la différence de coût par rapport aux clés logicielles est minime.
gcloud kms keys create <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --purpose=encryption \ --protection-level=hsm
Pour une protection logicielle à la place, omettez --protection-level=hsm. Rien d'autre ne change dans ce guide.
Vous pouvez également créer la clé depuis la console Google Cloud. Ouvrez le trousseau de clés, cliquez sur Create key, sélectionnez Generated key, définissez l'objectif et l'algorithme sur chiffrement et déchiffrement symétriques, puis choisissez HSM sous le niveau de protection.
Créez une clé symétrique de chiffrement/déchiffrement protégée par HSM.
Accorder au compte de service d'Anthropic l'accès à la clé
Deux liaisons IAM au niveau de la clé sont requises. Les deux sont limitées à la seule clé cryptographique, et non à l'ensemble du projet ou du trousseau de clés.
Chiffrement et déchiffrement, qu'Anthropic utilise pour chiffrer et déchiffrer les clés de données qui protègent les données de votre espace de travail (chiffrement d'enveloppe) :
gcloud kms keys add-iam-policy-binding <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --member="serviceAccount:anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com" \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Noter le nom complet de la ressource de clé
Vous transmettez ce nom à Anthropic lors de l'enregistrement de la clé. Le format est le suivant :
```
projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>
```
Récupérez-le avec :
gcloud kms keys describe <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --format="value(name)"
Depuis la console, ouvrez la page de détails de la clé et cliquez sur Copy resource name.
Copiez le nom complet de la ressource de la clé depuis le menu d'actions.

Enregistrer la clé auprès d'Anthropic

Créez une configuration de clé externe via l'API Admin, en utilisant le nom de ressource de l'étape précédente.

curl -sS https://api.anthropic.com/v1/organizations/external_keys \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "display_name": "<friendly-name>",
    "geo": "us",
    "provider_config": {
      "type": "gcp",
      "key_name": "projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>"
    }
  }'

La réponse contient l'identifiant de clé externe :

Valider la clé

Déclenchez un aller-retour de chiffrement et de déchiffrement sur votre clé.

curl -sS -X POST https://api.anthropic.com/v1/organizations/external_keys/ekey_<id>/validate \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" -d '{}'

Une réponse réussie ressemble à ceci :

{ "type": "external_key_validation", "status": "success", "error": null }

Associer la clé à un espace de travail

curl -sS -X POST https://api.anthropic.com/v1/organizations/workspaces/<workspace-id> \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "external_key_id": "ekey_<id>"
  }'

Terraform

Pour les déploiements d'infrastructure en tant que code, les mêmes étapes correspondent au fournisseur google avec les ressources google_kms_key_ring, google_kms_crypto_key et google_kms_crypto_key_iam_member.

Was this page helpful?

Prérequis

Un projet Google Cloud avec la facturation activée.

L'API Cloud KMS activée (cloudkms.googleapis.com).

Les autorisations nécessaires pour créer des trousseaux de clés et des clés KMS, et pour définir la stratégie IAM sur ceux-ci (roles/cloudkms.admin ou équivalent).

Une clé API Admin Anthropic pour votre organisation.

La CLI gcloud installée et authentifiée.

Les journaux d'audit d'accès aux données de Cloud KMS activés pour le projet (IAM & Admin > Audit Logs > Cloud Key Management Service, avec DATA_READ et DATA_WRITE). Ceux-ci sont désactivés par défaut ; sans eux, les opérations de chiffrement et de déchiffrement d'Anthropic ne produisent aucune entrée dans Cloud Logging.

Adresse e-mail du compte de service Anthropic

anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com

Utilisez uniquement cette adresse e-mail de compte de service publiée. Ne faites jamais confiance à un identifiant fourni par e-mail, chat ou tout autre canal d'intégration.

Configuration de la clé de chiffrement

Créer ou choisir un trousseau de clés
Ignorez cette étape si vous disposez déjà d'un trousseau de clés à réutiliser. Les trousseaux de clés sont régionaux. Choisissez un emplacement américain à région unique tel que us-east5 correspondant à la géographie Anthropic que vous configurez. Les emplacements multirégionaux comme us et global ne sont pas pris en charge.
gcloud kms keyrings create <your-keyring-name> \ --project=<your-project-id> \ --location=<region>
Créer la clé cryptographique
Créez une clé symétrique avec l'objectif ENCRYPT_DECRYPT. La protection HSM est fortement recommandée : les clés HSM de Cloud KMS sont validées FIPS 140-2 niveau 3, et la différence de coût par rapport aux clés logicielles est minime.
gcloud kms keys create <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --purpose=encryption \ --protection-level=hsm
Pour une protection logicielle à la place, omettez --protection-level=hsm. Rien d'autre ne change dans ce guide.
Vous pouvez également créer la clé depuis la console Google Cloud. Ouvrez le trousseau de clés, cliquez sur Create key, sélectionnez Generated key, définissez l'objectif et l'algorithme sur chiffrement et déchiffrement symétriques, puis choisissez HSM sous le niveau de protection.
Créez une clé symétrique de chiffrement/déchiffrement protégée par HSM.
Accorder au compte de service d'Anthropic l'accès à la clé
Deux liaisons IAM au niveau de la clé sont requises. Les deux sont limitées à la seule clé cryptographique, et non à l'ensemble du projet ou du trousseau de clés.
Chiffrement et déchiffrement, qu'Anthropic utilise pour chiffrer et déchiffrer les clés de données qui protègent les données de votre espace de travail (chiffrement d'enveloppe) :
gcloud kms keys add-iam-policy-binding <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --member="serviceAccount:anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com" \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Noter le nom complet de la ressource de clé
Vous transmettez ce nom à Anthropic lors de l'enregistrement de la clé. Le format est le suivant :
```
projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>
```
Récupérez-le avec :
gcloud kms keys describe <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --format="value(name)"
Depuis la console, ouvrez la page de détails de la clé et cliquez sur Copy resource name.
Copiez le nom complet de la ressource de la clé depuis le menu d'actions.

Enregistrer la clé auprès d'Anthropic

Créez une configuration de clé externe via l'API Admin, en utilisant le nom de ressource de l'étape précédente.

curl -sS https://api.anthropic.com/v1/organizations/external_keys \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "display_name": "<friendly-name>",
    "geo": "us",
    "provider_config": {
      "type": "gcp",
      "key_name": "projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>"
    }
  }'

La réponse contient l'identifiant de clé externe :

Valider la clé

Déclenchez un aller-retour de chiffrement et de déchiffrement sur votre clé.

curl -sS -X POST https://api.anthropic.com/v1/organizations/external_keys/ekey_<id>/validate \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" -d '{}'

Une réponse réussie ressemble à ceci :

{ "type": "external_key_validation", "status": "success", "error": null }

Associer la clé à un espace de travail

curl -sS -X POST https://api.anthropic.com/v1/organizations/workspaces/<workspace-id> \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "external_key_id": "ekey_<id>"
  }'