• Pesan
  • Managed Agents
  • Admin
Search...
⌘K
Organisasi
Admin APIWorkspace
Autentikasi
IkhtisarWorkload Identity FederationReferensi WIF
Pemantauan
Usage and Cost APIRate Limits APIClaude Code Analytics API
Data & kepatuhan
Residensi dataAPI dan retensi data
IkhtisarAWS KMSGoogle Cloud KMSAzure Key Vault
Compliance API
IkhtisarDapatkan aksesFeed AktivitasObrolan, file, dan proyekOrganisasi, pengguna, peran, dan grupRancang integrasi AndaKesalahanFAQ
Log in
Google Cloud KMS
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...

Solutions

  • AI agents
  • Code modernization
  • Coding
  • Customer support
  • Education
  • Financial services
  • Government
  • Life sciences

Partners

  • Amazon Bedrock
  • Google Cloud's Vertex AI

Learn

  • Blog
  • Courses
  • Use cases
  • Connectors
  • Customer stories
  • Engineering at Anthropic
  • Events
  • Powered by Claude
  • Service partners
  • Startups program

Company

  • Anthropic
  • Careers
  • Economic Futures
  • Research
  • News
  • Responsible Scaling Policy
  • Security and compliance
  • Transparency

Learn

  • Blog
  • Courses
  • Use cases
  • Connectors
  • Customer stories
  • Engineering at Anthropic
  • Events
  • Powered by Claude
  • Service partners
  • Startups program

Help and security

  • Availability
  • Status
  • Support
  • Discord

Terms and policies

  • Privacy policy
  • Responsible disclosure policy
  • Terms of service: Commercial
  • Terms of service: Consumer
  • Usage policy
Admin/Kunci enkripsi

Mengonfigurasi Google Cloud KMS untuk CMEK

Gunakan Google Cloud KMS untuk menyediakan kunci enkripsi bagi organisasi Anda.
Configure with the /claude-api skill in Claude Code
claude "/claude-api help me configure a customer-managed encryption key with Google Cloud KMS"

Panduan ini menjelaskan langkah-langkah mengonfigurasi kunci Google Cloud KMS sebagai "customer-managed encryption key" (kunci enkripsi yang dikelola pelanggan), atau CMEK, untuk organisasi Anthropic Anda.

Mengaktifkan CMEK bersifat permanen. Jika kunci KMS Anda dihapus atau dinonaktifkan, Anthropic tidak dapat memulihkan data yang dienkripsi dengan kunci tersebut. Tinjau peringatan dan batasan sebelum Anda memulai.

Prasyarat

  • Proyek Google Cloud dengan penagihan yang diaktifkan.
  • Cloud KMS API diaktifkan (cloudkms.googleapis.com).
  • Izin untuk membuat key ring dan kunci KMS, serta untuk mengatur kebijakan IAM pada keduanya (roles/cloudkms.admin atau yang setara).
  • Kunci Admin API Anthropic untuk organisasi Anda.
  • gcloud CLI terinstal dan terautentikasi.
  • Data Access audit logs Cloud KMS diaktifkan untuk proyek tersebut (IAM & Admin > Audit Logs > Cloud Key Management Service, dengan DATA_READ dan DATA_WRITE). Log ini nonaktif secara default; tanpa log ini, operasi enkripsi dan dekripsi Anthropic tidak menghasilkan entri apa pun di Cloud Logging.

Email akun layanan Anthropic

Agar Anthropic dapat menggunakan kunci enkripsi Anda, Anda harus memberikan akun layanan Anthropic sebuah kunci yang dapat digunakan untuk mengenkripsi data. Email akun layanan untuk CMEK Anthropic adalah:

anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com

Gunakan hanya email akun layanan yang dipublikasikan ini. Jangan pernah memercayai pengidentifikasi yang diberikan melalui email, chat, atau saluran onboarding apa pun.

Domain restricted sharing: Jika proyek Anda berada di bawah organisasi Google Cloud yang menerapkan constraints/iam.allowedPolicyMemberDomains, binding IAM di bawah ini akan ditolak karena akun layanan Anthropic berada di luar organisasi Anda. Anda memerlukan pengecualian tingkat proyek pada batasan tersebut, atau menambahkan ID pelanggan Cloud Identity milik Anthropic (format C0xxxxxxxx) ke daftar yang diizinkan. Hubungi Anthropic untuk mendapatkan ID pelanggan jika diperlukan.

Penyiapan kunci enkripsi

Terraform

Untuk deployment infrastructure-as-code, langkah-langkah yang sama dipetakan ke provider google dengan resource google_kms_key_ring, google_kms_crypto_key, dan google_kms_crypto_key_iam_member.

Was this page helpful?

  • Prasyarat
  • Email akun layanan Anthropic
  • Penyiapan kunci enkripsi
  • Terraform
  1. 1

    Buat atau pilih key ring

    Lewati langkah ini jika Anda sudah memiliki key ring yang dapat digunakan kembali. Key ring bersifat regional. Pilih lokasi AS dengan satu region seperti us-east5 yang sesuai dengan geografi Anthropic yang sedang Anda konfigurasi. Lokasi multi-region seperti us dan global tidak didukung.

    gcloud kms keyrings create <your-keyring-name> \
  --project=<your-project-id> \
  --location=<region>
  2. 2

    Buat kunci kripto

    Buat kunci simetris dengan tujuan ENCRYPT_DECRYPT. Perlindungan HSM sangat direkomendasikan: kunci HSM Cloud KMS telah divalidasi FIPS 140-2 Level 3, dan selisih biayanya dibandingkan kunci perangkat lunak tergolong kecil.

    gcloud kms keys create <your-key-name> \
  --project=<your-project-id> \
  --location=<region> \
  --keyring=<your-keyring-name> \
  --purpose=encryption \
  --protection-level=hsm

    Untuk perlindungan perangkat lunak, hilangkan --protection-level=hsm. Tidak ada hal lain dalam panduan ini yang berubah.

    Anda juga dapat membuat kunci dari Google Cloud Console. Buka key ring, klik Create key, pilih Generated key, atur tujuan dan algoritma ke symmetric encrypt and decrypt, lalu pilih HSM di bagian protection level.

    Halaman Create key Google Cloud KMS dengan tingkat perlindungan HSM dan tujuan Symmetric encrypt/decrypt.
    Buat kunci symmetric encrypt/decrypt yang dilindungi HSM.
  3. 3

    Berikan akses kunci kepada akun layanan Anthropic

    Dua binding IAM tingkat kunci diperlukan. Keduanya dicakupkan ke satu kunci kripto saja, bukan ke seluruh proyek atau seluruh key ring.

    Encrypt dan decrypt, yang digunakan Anthropic untuk mengenkripsi dan mendekripsi kunci data yang melindungi data workspace Anda (envelope encryption):

    gcloud kms keys add-iam-policy-binding <your-key-name> \
  --project=<your-project-id> \
  --location=<region> \
  --keyring=<your-keyring-name> \
  --member="serviceAccount:anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com" \
  --role=roles/cloudkms.cryptoKeyEncrypterDecrypter

    Viewer, untuk pembacaan metadata (cryptoKeys.get) yang dilakukan Anthropic saat startup untuk memvalidasi tujuan dan algoritma kunci:

    gcloud kms keys add-iam-policy-binding <your-key-name> \
  --project=<your-project-id> \
  --location=<region> \
  --keyring=<your-keyring-name> \
  --member="serviceAccount:anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com" \
  --role=roles/cloudkms.viewer

    Dari Console, pilih kunci tersebut, buka panel Permissions, klik Grant access, lalu tambahkan akun layanan dengan kedua peran Cloud KMS CryptoKey Encrypter/Decrypter dan Cloud KMS Viewer. Pastikan Anda berada di halaman permissions milik kunci tersebut, bukan key ring atau proyek, sehingga pemberian akses dicakupkan hanya ke kunci ini.

    Dialog Grant access Google Cloud yang menambahkan akun layanan Anthropic dengan peran Cloud KMS CryptoKey Encrypter/Decrypter dan Cloud KMS Viewer.
    Berikan kedua peran kepada akun layanan Anthropic, dicakupkan ke kunci tersebut.
  4. 4

    Catat nama resource lengkap kunci

    Anda meneruskan nama ini ke Anthropic saat mendaftarkan kunci. Formatnya adalah:

    projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>

    Ambil dengan perintah:

    gcloud kms keys describe <your-key-name> \
  --project=<your-project-id> \
  --location=<region> \
  --keyring=<your-keyring-name> \
  --format="value(name)"

    Dari Console, buka halaman detail kunci dan klik Copy resource name.

    Detail key ring Google Cloud dengan tindakan Copy resource name yang disorot di menu tindakan kunci.
    Salin nama resource lengkap kunci dari menu tindakan.
  5. 5

    Daftarkan kunci ke Anthropic

    Buat konfigurasi kunci eksternal melalui Admin API, menggunakan nama resource dari langkah sebelumnya.

    curl -sS https://api.anthropic.com/v1/organizations/external_keys \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "display_name": "<friendly-name>",
    "geo": "us",
    "provider_config": {
      "type": "gcp",
      "key_name": "projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>"
    }
  }'

    Respons berisi ID kunci eksternal:

    {
  "type": "external_key",
  "id": "ekey_<id>",
  "display_name": "<friendly-name>"
}
  6. 6

    Validasi kunci

    Picu proses enkripsi dan dekripsi bolak-balik terhadap kunci Anda.

    curl -sS -X POST https://api.anthropic.com/v1/organizations/external_keys/ekey_<id>/validate \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" -d '{}'

    Respons yang berhasil terlihat seperti ini:

    { "type": "external_key_validation", "status": "success", "error": null }

    Jika validasi gagal, penyebab umumnya adalah:

    • VPC Service Controls: jika perimeter layanan melindungi Cloud KMS di proyek Anda, tambahkan Anthropic ke access level pada perimeter tersebut (atau kecualikan proyek kunci) agar Anthropic dapat menjangkau kunci tersebut.
    • Domain restricted sharing: kebijakan organisasi constraints/iam.allowedPolicyMemberDomains dapat menghapus binding akun layanan Anthropic (lihat catatan di atas). Pastikan binding tersebut ada dengan gcloud kms keys get-iam-policy <your-key-name> --project=<your-project-id> --location=<region> --keyring=<your-keyring-name>.
    • Versi kunci yang dinonaktifkan atau dihancurkan: pastikan versi utama kunci diaktifkan, dan tidak dinonaktifkan, dijadwalkan untuk dihancurkan, atau sudah dihancurkan.
  7. 7

    Lampirkan kunci ke workspace

    curl -sS -X POST https://api.anthropic.com/v1/organizations/workspaces/<workspace-id> \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "external_key_id": "ekey_<id>"
  }'