認証

Claude APIは、リクエストを認証するための2つの方法をサポートしています。

どちらの方法でも、Claude APIエンドポイントへの同じアクセスが付与されます。すぐに始めたい場合はAPIキーを選択し、ワークロードにフェデレーション可能なプラットフォーム発行のIDがすでにある場合はWorkload Identity Federationに移行してください。

APIキー

APIキーは、Claude Consoleで生成し、すべてのリクエストに渡す静的なシークレットです。

• キーの作成： Claude Consoleの設定 → APIキーに移動します。ワークスペースを使用して、プロジェクトや環境ごとにキーのスコープを設定できます。
• キーの送信： 直接HTTPリクエストを行う場合はx-api-keyヘッダーを設定するか、ANTHROPIC_API_KEY環境変数を設定するとクライアントSDKが自動的にそれを読み取ります。

POST /v1/messages
x-api-key: YOUR_API_KEY
anthropic-version: 2023-06-01
content-type: application/json

APIキーには有効期限がありません。シークレットマネージャーに保管し、定期的にローテーションし、漏洩が疑われるキーは失効させてください。

client = Anthropic(api_key="my-anthropic-api-key")
# または、環境変数に ANTHROPIC_API_KEY が設定されている場合：
client = Anthropic()

Workload Identity Federation

「Workload Identity Federation」、すなわちWIFを使用すると、AWS IAM、Google Cloud、または標準準拠のOIDC発行者（GitHub Actions、Kubernetesサービスアカウント、SPIFFE、Microsoft Entra ID、Oktaなど）といった、すでに信頼している「identity provider」（IDプロバイダー）、すなわちIdPが発行する短期有効なIDトークンでワークロードを認証できます。ワークロードは、IdPが発行したJWTをPOST /v1/oauth/tokenで短期有効なClaude APIアクセストークンと交換し、SDKはそのトークンが期限切れになる前に自動的に更新します。発行、配布、ローテーションが必要なsk-ant-api...文字列は存在しません。

フェデレーションにより、長期有効なClaude APIキーが環境から排除されるため、認証情報が漏洩した場合の影響範囲が縮小され、クラウドリソースにすでに使用しているのと同じIdPコントロールでアクセスを管理できます。ただし、フェデレーション自体がエンドツーエンドのセキュリティを保証するわけではありません。信頼チェーンはIDプロバイダーの設定の強度に依存し、1ホップ上流にある長期有効なシークレット（たとえば、IdPトークンを発行できる静的なクラウド認証情報）によって依然として損なわれる可能性があります。フェデレーションは、IP許可リスト、MFA、監査ログなど、プロバイダーのコントロールと組み合わせて使用してください。

フェデレーションを設定するには、Claude Consoleで3つのリソース（サービスアカウント、フェデレーション発行者、フェデレーションルール）を作成し、SDKをそのルールに向けます。完全なセットアップ手順については、Workload Identity Federationを参照してください。

次のステップ