AmministrazioneChiavi di crittografia

Chiavi di crittografia gestite dal cliente

Crittografa i dati del workspace Claude a riposo con una chiave sotto il tuo controllo.

Learn more with the /claude-api skill in Claude Code

claude "/claude-api tell me about customer-managed encryption keys"

Una "customer-managed encryption key" (chiave di crittografia gestita dal cliente), o CMEK, ti consente di effettuare il provisioning di una chiave di crittografia nel tuo AWS KMS, Google Cloud KMS o Azure Key Vault e di far sì che Anthropic la utilizzi per crittografare determinati dati del workspace a riposo. Mantieni il pieno controllo della chiave, inclusi rotazione, audit e revoca, e le operazioni sulla chiave che Anthropic esegue vengono registrate nei log di audit del tuo provider cloud.

Le organizzazioni possono scegliere di aderire all'uso delle chiavi di crittografia gestite dal cliente invece della crittografia predefinita fornita da Anthropic.

Come funziona

CMEK viene associata per singolo workspace. Solo gli amministratori possono configurarla. CMEK protegge i dati scritti dopo l'abilitazione della chiave. I dati esistenti (chat, file e sessioni precedenti) rimangono crittografati con chiavi gestite da Anthropic e non vengono ricrittografati con la tua chiave.

Gli eventi di configurazione amministrativa di CMEK appaiono nel Compliance API Activity Feed. Le operazioni sulla chiave che Anthropic esegue (come il wrapping e l'unwrapping delle chiavi dati) non appaiono nella Compliance API; appaiono nei log di audit del tuo provider cloud.

Prerequisiti

Accesso Cloud Admin nell'account, progetto o sottoscrizione che ospiterà la chiave di crittografia.
Un ruolo Organization Admin nella Console Anthropic (oppure Owner / Primary Owner).

Disponibilità e regioni

CMEK è attualmente disponibile solo nelle regioni statunitensi e tutte le operazioni di crittografia vengono elaborate nelle regioni statunitensi. Le chiavi multi-regione e la residenza delle chiavi nell'UE non sono ancora supportate.

Su Claude Platform on AWS, CMEK è disponibile solo con chiavi AWS KMS; le chiavi Google Cloud KMS e Azure Key Vault non possono essere registrate. Crea, convalida e associa le chiavi nella Claude Console; gli endpoint API external_keys non sono attualmente disponibili su Claude Platform on AWS. La chiave deve trovarsi nella stessa regione AWS del workspace a cui è associata.

CMEK non è attualmente supportata per le organizzazioni con HIPAA abilitato. Il supporto per l'uso di CMEK insieme a HIPAA è pianificato. Se la tua organizzazione ha HIPAA abilitato, contatta il tuo referente Anthropic prima di configurare CMEK.

Per una latenza minima, scegli una regione vicina all'infrastruttura statunitense di Anthropic:

Provider	Regioni consigliate
AWS	`us-east-2`
Google Cloud	`us-central1`, `us-east5`
Azure	`northcentralus`, `eastus2`

Cosa protegge CMEK

Crittografato

Contenuto dei messaggi, inclusi gli allegati di file inline inviati con una richiesta, e la configurazione di MCP e strumenti.
Backup e snapshot ereditano la chiave.

Disabilitato o modificato

Alcune funzionalità vengono disattivate o modificate in modo sostanziale quando CMEK è abilitata:

La memoria degli agenti gestiti e l'agent dreaming sono disabilitati.
Le funzionalità beta e di anteprima di ricerca potrebbero non essere coperte da CMEK.

Non crittografato

Queste funzionalità rimangono disponibili, ma i loro dati non sono crittografati con la tua chiave. Puoi disabilitare qualsiasi funzionalità non appropriata per il tuo caso d'uso nelle Impostazioni.

Workbench nella Console.
Dati che non sono a riposo (come la cache) e dati con un TTL inferiore a 24 ore.
Activity Feed, log di audit e traffico di rete di telemetria come OTEL, in modo che i clienti possano mantenere la conformità anche se una chiave viene revocata.

Supporto delle funzionalità

Le seguenti API, risorse degli agenti gestiti e strumenti archiviano i dati a riposo con la tua chiave quando CMEK è abilitata:

API	Agenti gestiti	Strumenti e funzionalità
Messages	Agents	Web search
Models	Environments	Web fetch
Files	Sessions	Code execution
Batch	Vaults	Bash tool
Skills		Text editor tool
User profiles		MCP connector
		Structured outputs (solo Claude Sonnet 4.6 e Claude Haiku 4.5)
		Advisor tool
		Computer use
		Context management

Limitazioni

Azione irreversibile: una volta che una chiave è associata a un workspace, non può essere dissociata o sostituita. La rotazione del materiale della chiave all'interno della stessa chiave (ad esempio, la rotazione automatica di AWS KMS, una pianificazione di rotazione di Cloud KMS o una policy di rotazione di Azure Key Vault) è supportata in modo trasparente e non richiede alcuna modifica in Anthropic. Passare a una chiave diversa richiede la creazione di un nuovo workspace con la nuova chiave e la migrazione dei dati. Revocare o disabilitare la chiave rende tutti i dati protetti da CMEK in quel workspace permanentemente inaccessibili, senza possibilità di ripristino.
Nessuna crittografia retroattiva: CMEK protegge solo i dati scritti dopo l'abilitazione della chiave.
Latenza: le operazioni di wrapping o unwrapping delle chiavi dati effettuano un round-trip verso il tuo servizio di gestione delle chiavi, il che può aggiungere una piccola quantità di latenza alle azioni che leggono o scrivono dati a riposo.
Ritardo di revoca: la revoca della chiave può richiedere fino a un'ora (il TTL della cache). Le richieste già in corso durante tale finestra potrebbero continuare ad avere successo.

Configura il tuo provider

Segui la guida per il servizio di gestione delle chiavi che utilizzi.

AWS KMS

Crea una chiave AWS KMS con una key policy cross-account, quindi registrala e convalidala.

Google Cloud KMS

Crea una crypto key Cloud KMS, concedi l'accesso al service account di Anthropic, quindi registrala.

Azure Key Vault

Crea una chiave RSA, concedi l'accesso al service principal di Anthropic, quindi registrala e convalidala.

Was this page helpful?

AmministrazioneChiavi di crittografia

Chiavi di crittografia gestite dal cliente

Crittografa i dati del workspace Claude a riposo con una chiave sotto il tuo controllo.

Learn more with the /claude-api skill in Claude Code

claude "/claude-api tell me about customer-managed encryption keys"

Le organizzazioni possono scegliere di aderire all'uso delle chiavi di crittografia gestite dal cliente invece della crittografia predefinita fornita da Anthropic.

Come funziona

Prerequisiti

Accesso Cloud Admin nell'account, progetto o sottoscrizione che ospiterà la chiave di crittografia.
Un ruolo Organization Admin nella Console Anthropic (oppure Owner / Primary Owner).

Disponibilità e regioni

Per una latenza minima, scegli una regione vicina all'infrastruttura statunitense di Anthropic:

Provider	Regioni consigliate
AWS	`us-east-2`
Google Cloud	`us-central1`, `us-east5`
Azure	`northcentralus`, `eastus2`

Cosa protegge CMEK

Crittografato

Contenuto dei messaggi, inclusi gli allegati di file inline inviati con una richiesta, e la configurazione di MCP e strumenti.
Backup e snapshot ereditano la chiave.

Disabilitato o modificato

Alcune funzionalità vengono disattivate o modificate in modo sostanziale quando CMEK è abilitata:

La memoria degli agenti gestiti e l'agent dreaming sono disabilitati.
Le funzionalità beta e di anteprima di ricerca potrebbero non essere coperte da CMEK.

Non crittografato

Workbench nella Console.
Dati che non sono a riposo (come la cache) e dati con un TTL inferiore a 24 ore.
Activity Feed, log di audit e traffico di rete di telemetria come OTEL, in modo che i clienti possano mantenere la conformità anche se una chiave viene revocata.

Supporto delle funzionalità

Le seguenti API, risorse degli agenti gestiti e strumenti archiviano i dati a riposo con la tua chiave quando CMEK è abilitata:

API	Agenti gestiti	Strumenti e funzionalità
Messages	Agents	Web search
Models	Environments	Web fetch
Files	Sessions	Code execution
Batch	Vaults	Bash tool
Skills		Text editor tool
User profiles		MCP connector
		Structured outputs (solo Claude Sonnet 4.6 e Claude Haiku 4.5)
		Advisor tool
		Computer use
		Context management

Limitazioni

Azione irreversibile: una volta che una chiave è associata a un workspace, non può essere dissociata o sostituita. La rotazione del materiale della chiave all'interno della stessa chiave (ad esempio, la rotazione automatica di AWS KMS, una pianificazione di rotazione di Cloud KMS o una policy di rotazione di Azure Key Vault) è supportata in modo trasparente e non richiede alcuna modifica in Anthropic. Passare a una chiave diversa richiede la creazione di un nuovo workspace con la nuova chiave e la migrazione dei dati. Revocare o disabilitare la chiave rende tutti i dati protetti da CMEK in quel workspace permanentemente inaccessibili, senza possibilità di ripristino.
Nessuna crittografia retroattiva: CMEK protegge solo i dati scritti dopo l'abilitazione della chiave.
Latenza: le operazioni di wrapping o unwrapping delle chiavi dati effettuano un round-trip verso il tuo servizio di gestione delle chiavi, il che può aggiungere una piccola quantità di latenza alle azioni che leggono o scrivono dati a riposo.
Ritardo di revoca: la revoca della chiave può richiedere fino a un'ora (il TTL della cache). Le richieste già in corso durante tale finestra potrebbero continuare ad avere successo.

Configura il tuo provider

Segui la guida per il servizio di gestione delle chiavi che utilizzi.

AWS KMS

Crea una chiave AWS KMS con una key policy cross-account, quindi registrala e convalidala.

Google Cloud KMS

Crea una crypto key Cloud KMS, concedi l'accesso al service account di Anthropic, quindi registrala.

Azure Key Vault

Crea una chiave RSA, concedi l'accesso al service principal di Anthropic, quindi registrala e convalidala.

Was this page helpful?

L'abilitazione di CMEK è permanente e può causare una perdita irreversibile dei dati

Come funziona

Prerequisiti

Disponibilità e regioni

Cosa protegge CMEK

Crittografato

Disabilitato o modificato

Non crittografato

Supporto delle funzionalità

Limitazioni

Configura il tuo provider

L'abilitazione di CMEK è permanente e può causare una perdita irreversibile dei dati

Come funziona

Prerequisiti

Disponibilità e regioni

Cosa protegge CMEK

Crittografato

Disabilitato o modificato

Non crittografato

Supporto delle funzionalità

Limitazioni

Configura il tuo provider