Autenticazione

La Claude API supporta due modi per autenticare le richieste:

Entrambi i metodi concedono lo stesso accesso agli endpoint della Claude API. Scegli le chiavi API per iniziare rapidamente e passa a Workload Identity Federation quando il tuo carico di lavoro dispone già di un'identità emessa dalla piattaforma che puoi federare.

Chiavi API

Le chiavi API sono segreti statici che generi nella Claude Console e passi in ogni richiesta.

• Crea una chiave: Vai su Settings → API keys nella Claude Console. Usa i workspace per limitare l'ambito delle chiavi per progetto o ambiente.
• Invia la chiave: Imposta l'header x-api-key nelle richieste HTTP dirette, oppure imposta la variabile d'ambiente ANTHROPIC_API_KEY e gli SDK client la rileveranno automaticamente.

POST /v1/messages
x-api-key: YOUR_API_KEY
anthropic-version: 2023-06-01
content-type: application/json

Le chiavi API non hanno scadenza. Archiviale in un secrets manager, ruotale periodicamente e revoca qualsiasi chiave che sospetti sia stata compromessa.

client = Anthropic(api_key="my-anthropic-api-key")
# oppure, con ANTHROPIC_API_KEY impostata nell'ambiente:
client = Anthropic()

Workload Identity Federation

La "Workload Identity Federation" (federazione dell'identità del carico di lavoro), o WIF, consente a un carico di lavoro di autenticarsi con un token di identità di breve durata emesso da un "identity provider" (provider di identità), o IdP, di cui ti fidi già, come AWS IAM, Google Cloud o qualsiasi issuer OIDC conforme agli standard (come GitHub Actions, service account Kubernetes, SPIFFE, Microsoft Entra ID o Okta). Il carico di lavoro scambia il suo JWT emesso dall'IdP presso POST /v1/oauth/token con un access token di breve durata per la Claude API, e l'SDK aggiorna automaticamente quel token prima che scada. Non c'è alcuna stringa sk-ant-api... da generare, distribuire o ruotare.

La federazione rimuove le chiavi della Claude API di lunga durata dal tuo ambiente, riducendo così il raggio d'impatto di una credenziale compromessa e permettendoti di gestire l'accesso con gli stessi controlli IdP che usi già per le risorse cloud. Di per sé, non garantisce la sicurezza end-to-end: la catena di fiducia è solida solo quanto la configurazione del tuo identity provider, e un segreto di lunga durata un passo a monte (ad esempio, una credenziale cloud statica che può generare token IdP) può comunque comprometterla. Abbina la federazione ai controlli del tuo provider, come allowlist IP, MFA e audit logging.

Per configurare la federazione, crea tre risorse nella Claude Console (un service account, un federation issuer e una federation rule) e poi punta il tuo SDK alla rule. Consulta Workload Identity Federation per la procedura di configurazione completa.

Passaggi successivi