AdministrationAPI Conformité

Obtenir l'accès à l'API Compliance

Demandez l'accès à l'API Compliance pour votre organisation, puis créez une clé d'accès Compliance (avec des permissions délimitées) ou une clé Admin API, et découvrez laquelle utiliser.

L'API Compliance est activée sur demande. Les organisations Claude Enterprise ont accès à l'API complète ; les organisations Claude Console ont accès uniquement au flux d'activité. Cette page décrit comment demander l'accès et créer des clés API.

Rôle requis : administrateur d'organisation (Claude Console) ou propriétaire principal (claude.ai).

L'API Compliance utilise deux types de clés, et celle que vous créez dépend du produit Claude utilisé par votre organisation. Les propriétaires principaux créent des clés d'accès Compliance dans claude.ai ; ces clés donnent accès à l'intégralité de l'API Compliance. Les administrateurs d'organisation créent des clés Admin API dans Claude Console ; ces clés donnent accès uniquement au flux d'activité.

De quelle clé avez-vous besoin ?

Type de clé	Créée dans	Utilisée pour	Fonctionne avec l'API Compliance ?
Clé d'accès Compliance (`sk-ant-api01-...`)	claude.ai > Organization settings > API	Flux d'activité, conversations, fichiers, projets, utilisateurs et métadonnées d'organisation	Oui (tous les points de terminaison)
Clé Admin API (`sk-ant-admin01-...`)	Claude Console > Settings > Admin keys	L'Admin API et le flux d'activité de l'API Compliance	Flux d'activité uniquement
Clé Analytics API	claude.ai > Analytics > API keys	L'API Claude Enterprise Analytics	Non
Clé Claude API (`sk-ant-api03-...`)	Claude Console > Settings > API keys	Appeler les modèles Claude via la Claude API	Non

Un locataire Claude Enterprise possède une organisation parente qui centralise l'identité, le SSO et le SCIM pour chaque organisation de charge de travail qui en dépend. Ces organisations de charge de travail sont les organisations liées de l'organisation parente.

Les organisations parentes Claude Enterprise n'apparaissent pas dans Claude Console (platform.claude.com). L'organisation parente ne porte aucune charge de travail, aucune clé Claude API et aucune clé Admin API. Créez les clés d'accès Compliance dans les Organization settings de claude.ai, et non dans Claude Console.

Demander l'accès à l'API Compliance

Contactez votre représentant Anthropic pour demander l'accès. L'activation s'effectue au niveau de l'organisation parente et se propage à chaque organisation liée, qu'il s'agisse de claude.ai ou de Claude Console. Ce qui change après l'activation dépend du produit Claude utilisé par votre organisation.

Après l'activation : organisations claude.ai

Une fois qu'Anthropic a activé l'API Compliance pour votre organisation parente, le propriétaire principal peut créer des clés d'accès Compliance depuis la section Keys sur claude.ai > Organization settings > API.

Après l'activation : organisations Claude Console

Une fois qu'Anthropic a activé l'API Compliance pour votre organisation parente, les clés Admin API créées à partir de ce moment portent le « scope » (portée) read:compliance_activities. Les clés Admin API créées avant l'activation continuent de fonctionner avec l'Admin API, mais appeler le flux d'activité avec l'une d'elles renvoie 403 Forbidden ; créez une nouvelle clé Admin API pour obtenir cette portée.

Créer une clé d'accès Compliance

L'API Compliance doit déjà être activée pour votre organisation parente claude.ai avant qu'une clé d'accès Compliance puisse être créée.

Une clé d'accès Compliance avec read:compliance_user_data peut lire chaque conversation, fichier et projet dans chaque organisation liée, y compris du contenu que le propriétaire principal n'a pas vu. Une clé avec delete:compliance_user_data peut supprimer définitivement ce contenu. Traitez les clés d'accès Compliance comme des identifiants de base de données de production : stockez-les dans un gestionnaire de secrets, jamais dans le contrôle de source ni dans la configuration d'un transmetteur SIEM.

Connectez-vous en tant que propriétaire principal
Seul le propriétaire principal de l'organisation parente peut créer des clés d'accès Compliance. Si la page API décrite à l'étape suivante n'est pas visible, ou si les portées de conformité ne sont pas disponibles lors de la création d'une clé, soit vous n'êtes pas le propriétaire principal, soit l'API Compliance n'a pas encore été activée pour votre organisation (voir Demander l'accès à l'API Compliance).
Ouvrez les paramètres API
Accédez à claude.ai > Organization settings > API et trouvez la section Keys.

Créez la clé

Cliquez sur Create key, nommez la clé et sélectionnez une ou plusieurs portées dans le tableau suivant. Cliquez sur Create.

Portée	Accorde
`read:compliance_activities`	Lire le flux d'activité de l'organisation parente et de toutes les organisations liées
`read:compliance_user_data`	Lire les conversations, messages, fichiers, projets des utilisateurs, les utilisateurs de l'organisation et les membres des groupes
`delete:compliance_user_data`	Supprimer les conversations, fichiers et projets des utilisateurs
`read:compliance_org_data`	Lire les métadonnées de l'organisation (noms, types, rôles et groupes). Les listes d'utilisateurs et l'appartenance aux groupes nécessitent `read:compliance_user_data`.

Choisissez le plus petit ensemble de portées dont votre intégration a besoin :

Un pipeline d'audit qui lit le flux d'activité n'a besoin que de read:compliance_activities.
Un outil d'eDiscovery qui lit les conversations et les fichiers mais ne les supprime jamais n'a pas besoin de delete:compliance_user_data.
Si votre flux de travail lit et supprime à la fois, utilisez deux clés avec des portées distinctes afin qu'une clé de lecture divulguée ne puisse pas supprimer de données.

Les portées des clés d'accès Compliance sont immuables après leur création. Pour modifier les portées, créez une nouvelle clé avec les portées souhaitées, puis supprimez l'ancienne.

Copiez et stockez le secret
Copiez la clé secrète affichée (commençant par sk-ant-api01-) et stockez-la dans votre gestionnaire de secrets. Le secret complet n'est affiché qu'une seule fois.
Exportez la clé pour les exemples de ce guide
Définissez la clé comme variable d'environnement afin que les exemples shell de ce guide puissent la lire :
export ANTHROPIC_COMPLIANCE_ACCESS_KEY=sk-ant-api01-...

Créer une clé Admin API

L'API Compliance doit déjà être activée pour votre organisation Claude Console avant qu'une clé Admin API puisse appeler le flux d'activité.

Connectez-vous en tant qu'administrateur d'organisation
Seul un membre de l'organisation ayant le rôle admin peut créer des clés Admin API. Consultez Rôles et permissions de l'organisation pour la liste complète des rôles.
Ouvrez les paramètres des clés Admin
Accédez à Claude Console > Settings > Admin keys.
Créez la clé
Cliquez sur Create key, nommez la clé et cliquez sur Create.
Copiez et stockez le secret
Copiez la clé secrète affichée (commençant par sk-ant-admin01-) et stockez-la dans votre gestionnaire de secrets. Le secret complet n'est affiché qu'une seule fois.
Exportez la clé pour l'utiliser avec le flux d'activité
Définissez la clé comme variable d'environnement :
export ANTHROPIC_ADMIN_KEY=sk-ant-admin01-...
Le nom de variable distinct empêche la clé Admin API d'écraser une clé d'accès Compliance si vous provisionnez les deux. Les exemples cURL de ce guide lisent la clé depuis $ANTHROPIC_COMPLIANCE_ACCESS_KEY ; substituez $ANTHROPIC_ADMIN_KEY lorsque vous appelez le flux d'activité avec une clé Admin API.

Les clés Admin API portent la portée read:compliance_activities uniquement si l'API Compliance a été activée pour l'organisation avant la création de la clé ; voir Après l'activation : organisations Claude Console. Aucune autre portée de l'API Compliance ne peut leur être accordée, de sorte que les appels à tout point de terminaison autre que le flux d'activité renvoient 403 Forbidden.

Pour le rôle de cette même clé dans la gestion de votre organisation Claude Console, consultez Admin API.

Vérifier les portées de votre clé

Pour inspecter les portées d'une clé que vous possédez déjà, utilisez l'un des indicateurs suivants.

Préfixe de la clé. sk-ant-admin01- est une clé Admin API (porte uniquement read:compliance_activities, sous réserve du moment d'activation décrit dans la section précédente). sk-ant-api01- est une clé d'accès Compliance ; ses portées correspondent au sous-ensemble que vous avez sélectionné lors de la création.
Interface des paramètres. Ouvrez la section Keys dans claude.ai > Organization settings > API, ou la section Admin keys dans Claude Console > Settings > Admin keys, et consultez la colonne Scopes pour la clé.
Réponses d'erreur. Un appel qui dépasse les portées de la clé renvoie une erreur 403 avec un message au format Missing required scopes. Got: [<scopes the key carries>] Needed: [<scopes the endpoint requires>]. Consultez Gérer les erreurs de l'API Compliance pour le catalogue complet des erreurs.

{
  "error": {
    "type": "permission_error",
    "message": "Missing required scopes. Got: ['read:compliance_activities'] Needed: ['read:compliance_user_data']"
  }
}

Gérer et faire tourner les clés

Supprimez une clé d'accès Compliance depuis le même tableau Keys où vous l'avez créée : accédez à claude.ai > Organization settings > API. Supprimez une clé Admin API depuis Claude Console > Settings > Admin keys.

La suppression d'une clé prend effet à la requête suivante : il n'y a pas de période de grâce. Les clés d'accès Compliance n'expirent pas d'elles-mêmes.

Pour faire tourner une clé sans interruption de service :

Créez une nouvelle clé avec les mêmes portées.
Mettez à jour votre intégration pour utiliser la nouvelle clé.
Vérifiez que l'intégration fonctionne avec la nouvelle clé.
Supprimez l'ancienne clé.

Les curseurs de pagination stockés avant une rotation restent valides : les curseurs sont liés à l'organisation, pas à la clé.

Si une clé d'accès Compliance est divulguée, supprimez-la immédiatement, auditez le flux d'activité pour les activités compliance_api_accessed effectuées par la clé compromise, et faites tourner tous les identifiants en aval auxquels la clé divulguée pouvait accéder. Passez activity_types[]=compliance_api_accessed pour délimiter la requête, puis, dans votre client, conservez les activités dont actor.type est api_actor et dont actor.api_key_id correspond à la clé compromise ; consultez Comprendre l'objet Activity pour le schéma de l'acteur.

Étapes suivantes

Interroger le flux d'activité

Lisez les événements d'activité à l'échelle de l'organisation avec n'importe quelle clé disposant de read:compliance_activities.

Récupérer et supprimer des conversations, fichiers et projets

Utilisez une clé d'accès Compliance avec read:compliance_user_data pour récupérer du contenu claude.ai, et delete:compliance_user_data pour le supprimer.

Was this page helpful?

AdministrationAPI Conformité

Obtenir l'accès à l'API Compliance

Demandez l'accès à l'API Compliance pour votre organisation, puis créez une clé d'accès Compliance (avec des permissions délimitées) ou une clé Admin API, et découvrez laquelle utiliser.

Rôle requis : administrateur d'organisation (Claude Console) ou propriétaire principal (claude.ai).

De quelle clé avez-vous besoin ?

Type de clé	Créée dans	Utilisée pour	Fonctionne avec l'API Compliance ?
Clé d'accès Compliance (`sk-ant-api01-...`)	claude.ai > Organization settings > API	Flux d'activité, conversations, fichiers, projets, utilisateurs et métadonnées d'organisation	Oui (tous les points de terminaison)
Clé Admin API (`sk-ant-admin01-...`)	Claude Console > Settings > Admin keys	L'Admin API et le flux d'activité de l'API Compliance	Flux d'activité uniquement
Clé Analytics API	claude.ai > Analytics > API keys	L'API Claude Enterprise Analytics	Non
Clé Claude API (`sk-ant-api03-...`)	Claude Console > Settings > API keys	Appeler les modèles Claude via la Claude API	Non

Demander l'accès à l'API Compliance

Après l'activation : organisations claude.ai

Après l'activation : organisations Claude Console

Créer une clé d'accès Compliance

L'API Compliance doit déjà être activée pour votre organisation parente claude.ai avant qu'une clé d'accès Compliance puisse être créée.

Connectez-vous en tant que propriétaire principal
Seul le propriétaire principal de l'organisation parente peut créer des clés d'accès Compliance. Si la page API décrite à l'étape suivante n'est pas visible, ou si les portées de conformité ne sont pas disponibles lors de la création d'une clé, soit vous n'êtes pas le propriétaire principal, soit l'API Compliance n'a pas encore été activée pour votre organisation (voir Demander l'accès à l'API Compliance).
Ouvrez les paramètres API
Accédez à claude.ai > Organization settings > API et trouvez la section Keys.

Créez la clé

Cliquez sur Create key, nommez la clé et sélectionnez une ou plusieurs portées dans le tableau suivant. Cliquez sur Create.

Portée	Accorde
`read:compliance_activities`	Lire le flux d'activité de l'organisation parente et de toutes les organisations liées
`read:compliance_user_data`	Lire les conversations, messages, fichiers, projets des utilisateurs, les utilisateurs de l'organisation et les membres des groupes
`delete:compliance_user_data`	Supprimer les conversations, fichiers et projets des utilisateurs
`read:compliance_org_data`	Lire les métadonnées de l'organisation (noms, types, rôles et groupes). Les listes d'utilisateurs et l'appartenance aux groupes nécessitent `read:compliance_user_data`.

Choisissez le plus petit ensemble de portées dont votre intégration a besoin :

Un pipeline d'audit qui lit le flux d'activité n'a besoin que de read:compliance_activities.
Un outil d'eDiscovery qui lit les conversations et les fichiers mais ne les supprime jamais n'a pas besoin de delete:compliance_user_data.
Si votre flux de travail lit et supprime à la fois, utilisez deux clés avec des portées distinctes afin qu'une clé de lecture divulguée ne puisse pas supprimer de données.

Les portées des clés d'accès Compliance sont immuables après leur création. Pour modifier les portées, créez une nouvelle clé avec les portées souhaitées, puis supprimez l'ancienne.

Copiez et stockez le secret
Copiez la clé secrète affichée (commençant par sk-ant-api01-) et stockez-la dans votre gestionnaire de secrets. Le secret complet n'est affiché qu'une seule fois.
Exportez la clé pour les exemples de ce guide
Définissez la clé comme variable d'environnement afin que les exemples shell de ce guide puissent la lire :
export ANTHROPIC_COMPLIANCE_ACCESS_KEY=sk-ant-api01-...

Créer une clé Admin API

L'API Compliance doit déjà être activée pour votre organisation Claude Console avant qu'une clé Admin API puisse appeler le flux d'activité.

Connectez-vous en tant qu'administrateur d'organisation
Seul un membre de l'organisation ayant le rôle admin peut créer des clés Admin API. Consultez Rôles et permissions de l'organisation pour la liste complète des rôles.
Ouvrez les paramètres des clés Admin
Accédez à Claude Console > Settings > Admin keys.
Créez la clé
Cliquez sur Create key, nommez la clé et cliquez sur Create.
Copiez et stockez le secret
Copiez la clé secrète affichée (commençant par sk-ant-admin01-) et stockez-la dans votre gestionnaire de secrets. Le secret complet n'est affiché qu'une seule fois.
Exportez la clé pour l'utiliser avec le flux d'activité
Définissez la clé comme variable d'environnement :
export ANTHROPIC_ADMIN_KEY=sk-ant-admin01-...
Le nom de variable distinct empêche la clé Admin API d'écraser une clé d'accès Compliance si vous provisionnez les deux. Les exemples cURL de ce guide lisent la clé depuis $ANTHROPIC_COMPLIANCE_ACCESS_KEY ; substituez $ANTHROPIC_ADMIN_KEY lorsque vous appelez le flux d'activité avec une clé Admin API.

Pour le rôle de cette même clé dans la gestion de votre organisation Claude Console, consultez Admin API.

Vérifier les portées de votre clé

Pour inspecter les portées d'une clé que vous possédez déjà, utilisez l'un des indicateurs suivants.

Préfixe de la clé. sk-ant-admin01- est une clé Admin API (porte uniquement read:compliance_activities, sous réserve du moment d'activation décrit dans la section précédente). sk-ant-api01- est une clé d'accès Compliance ; ses portées correspondent au sous-ensemble que vous avez sélectionné lors de la création.
Interface des paramètres. Ouvrez la section Keys dans claude.ai > Organization settings > API, ou la section Admin keys dans Claude Console > Settings > Admin keys, et consultez la colonne Scopes pour la clé.
Réponses d'erreur. Un appel qui dépasse les portées de la clé renvoie une erreur 403 avec un message au format Missing required scopes. Got: [<scopes the key carries>] Needed: [<scopes the endpoint requires>]. Consultez Gérer les erreurs de l'API Compliance pour le catalogue complet des erreurs.

{
  "error": {
    "type": "permission_error",
    "message": "Missing required scopes. Got: ['read:compliance_activities'] Needed: ['read:compliance_user_data']"
  }
}

Gérer et faire tourner les clés

La suppression d'une clé prend effet à la requête suivante : il n'y a pas de période de grâce. Les clés d'accès Compliance n'expirent pas d'elles-mêmes.

Pour faire tourner une clé sans interruption de service :

Créez une nouvelle clé avec les mêmes portées.
Mettez à jour votre intégration pour utiliser la nouvelle clé.
Vérifiez que l'intégration fonctionne avec la nouvelle clé.
Supprimez l'ancienne clé.

Les curseurs de pagination stockés avant une rotation restent valides : les curseurs sont liés à l'organisation, pas à la clé.

Étapes suivantes

Interroger le flux d'activité

Lisez les événements d'activité à l'échelle de l'organisation avec n'importe quelle clé disposant de read:compliance_activities.

Récupérer et supprimer des conversations, fichiers et projets

Utilisez une clé d'accès Compliance avec read:compliance_user_data pour récupérer du contenu claude.ai, et delete:compliance_user_data pour le supprimer.

Was this page helpful?