管理暗号化キー

顧客管理の暗号化キー

お客様が管理するキーを使用して、Claudeワークスペースの保存データを暗号化します。

Learn more with the /claude-api skill in Claude Code

claude "/claude-api tell me about customer-managed encryption keys"

「customer-managed encryption key」（顧客管理の暗号化キー）、すなわちCMEKを使用すると、お客様自身のAWS KMS、Google Cloud KMS、またはAzure Key Vaultで暗号化キーをプロビジョニングし、Anthropicがそのキーを使用して特定のワークスペースの保存データを暗号化できるようになります。ローテーション、監査、失効を含むキーの完全な制御はお客様が保持し、Anthropicがお客様のキーに対して実行するキー操作は、お客様のクラウドプロバイダーの監査ログに記録されます。

組織は、Anthropicが提供するデフォルトの暗号化の代わりに、顧客管理の暗号化キーの使用をオプトインできます。

仕組み

CMEKはワークスペースごとにアタッチされます。設定できるのは管理者のみです。CMEKは、キーが有効化された後に書き込まれたデータを保護します。既存のデータ（以前のチャット、ファイル、セッション）はAnthropic管理のキーで暗号化されたままであり、お客様のキーで再暗号化されることはありません。

CMEKの管理者設定イベントは、Compliance API Activity Feedに表示されます。Anthropicがお客様のキーに対して実行するキー操作（データキーのラップやアンラップなど）はCompliance APIには表示されず、お客様のクラウドプロバイダーの監査ログに表示されます。

前提条件

暗号化キーをホストするアカウント、プロジェクト、またはサブスクリプションでのクラウド管理者アクセス権。
Anthropic Consoleの組織管理者ロール（またはオーナー／プライマリオーナー）。

利用可能性とリージョン

CMEKは現在、米国リージョンでのみ利用可能であり、すべての暗号化操作は米国リージョンで処理されます。マルチリージョンキーおよびEUキーレジデンシーはまだサポートされていません。

Claude Platform on AWSでは、CMEKはAWS KMSキーでのみ利用可能です。Google Cloud KMSおよびAzure Key Vaultのキーは登録できません。キーの作成、検証、アタッチはClaude Consoleで行ってください。external_keys APIエンドポイントは現在、Claude Platform on AWSでは利用できません。キーは、アタッチされるワークスペースと同じAWSリージョンに存在する必要があります。

CMEKは現在、HIPAAが有効になっている組織ではサポートされていません。CMEKとHIPAAを併用するためのサポートは計画中です。組織でHIPAAが有効になっている場合は、CMEKを設定する前にAnthropicの担当者にお問い合わせください。

レイテンシを最小限に抑えるには、Anthropicの米国インフラストラクチャに近いリージョンを選択してください。

プロバイダー	推奨リージョン
AWS	`us-east-2`
Google Cloud	`us-central1`、`us-east5`
Azure	`northcentralus`、`eastus2`

CMEKが保護する対象

暗号化される対象

メッセージコンテンツ（リクエストとともに送信されるインラインファイル添付を含む）、およびMCPとツールの設定。
バックアップとスナップショットはキーを継承します。

無効化または変更される対象

CMEKが有効になると、一部の機能がオフになるか、大幅に変更されます。

マネージドエージェントメモリおよびエージェントドリーミングは無効になります。
ベータ版およびリサーチプレビュー機能はCMEKの対象外となる場合があります。

暗号化されない対象

これらの機能は引き続き利用可能ですが、そのデータはお客様のキーで暗号化されません。ユースケースに適さない機能は、設定で無効にできます。

Console内のWorkbench。
保存状態にないデータ（キャッシュなど）およびTTLが24時間未満のデータ。
Activity Feed、監査ログ、およびOTELなどのテレメトリネットワークトラフィック。これにより、キーが失効した場合でもお客様はコンプライアンスを維持できます。

機能サポート

CMEKが有効な場合、以下のAPI、マネージドエージェントリソース、およびツールは、お客様のキーで保存データを暗号化します。

API	マネージドエージェント	ツールと機能
Messages	Agents	Web検索
Models	Environments	Webフェッチ
Files	Sessions	コード実行
Batch	Vaults	Bashツール
Skills		テキストエディタツール
User profiles		MCPコネクタ
		構造化出力（Claude Sonnet 4.6およびClaude Haiku 4.5のみ）
		Advisorツール
		コンピュータ使用
		コンテキスト管理

制限事項

不可逆的なアクション： キーがワークスペースにアタッチされると、デタッチや交換はできません。同じキー内でのキーマテリアルのローテーション（例：AWS KMSの自動ローテーション、Cloud KMSのローテーションスケジュール、Azure Key Vaultのローテーションポリシー）は透過的にサポートされており、Anthropic側での変更は不要です。別のキーに切り替えるには、新しいキーで新しいワークスペースを作成し、データを移行する必要があります。キーを失効または無効化すると、そのワークスペース内のCMEKで保護されたすべてのデータに永久にアクセスできなくなり、元に戻す方法はありません。
遡及的な暗号化なし： CMEKは、キーが有効化された後に書き込まれたデータのみを保護します。
レイテンシ： データキーをラップまたはアンラップする操作は、お客様のキー管理サービスへのラウンドトリップを行うため、保存データの読み取りまたは書き込みを行うアクションにわずかなレイテンシが追加される可能性があります。
失効の遅延： キーの失効には最大1時間（キャッシュTTL）かかる場合があります。その間に既に処理中のリクエストは引き続き成功する可能性があります。

プロバイダーの設定

使用するキー管理サービスのガイドに従ってください。

AWS KMS

クロスアカウントキーポリシーを持つAWS KMSキーを作成し、登録して検証します。

Google Cloud KMS

Cloud KMS暗号キーを作成し、Anthropicのサービスアカウントにアクセス権を付与してから登録します。

Azure Key Vault

RSAキーを作成し、Anthropicのサービスプリンシパルにアクセス権を付与してから、登録して検証します。

Was this page helpful?

管理暗号化キー

顧客管理の暗号化キー

お客様が管理するキーを使用して、Claudeワークスペースの保存データを暗号化します。

Learn more with the /claude-api skill in Claude Code

claude "/claude-api tell me about customer-managed encryption keys"

組織は、Anthropicが提供するデフォルトの暗号化の代わりに、顧客管理の暗号化キーの使用をオプトインできます。

仕組み

前提条件

暗号化キーをホストするアカウント、プロジェクト、またはサブスクリプションでのクラウド管理者アクセス権。
Anthropic Consoleの組織管理者ロール（またはオーナー／プライマリオーナー）。

利用可能性とリージョン

レイテンシを最小限に抑えるには、Anthropicの米国インフラストラクチャに近いリージョンを選択してください。

プロバイダー	推奨リージョン
AWS	`us-east-2`
Google Cloud	`us-central1`、`us-east5`
Azure	`northcentralus`、`eastus2`

CMEKが保護する対象

暗号化される対象

メッセージコンテンツ（リクエストとともに送信されるインラインファイル添付を含む）、およびMCPとツールの設定。
バックアップとスナップショットはキーを継承します。

無効化または変更される対象

CMEKが有効になると、一部の機能がオフになるか、大幅に変更されます。

マネージドエージェントメモリおよびエージェントドリーミングは無効になります。
ベータ版およびリサーチプレビュー機能はCMEKの対象外となる場合があります。

暗号化されない対象

Console内のWorkbench。
保存状態にないデータ（キャッシュなど）およびTTLが24時間未満のデータ。
Activity Feed、監査ログ、およびOTELなどのテレメトリネットワークトラフィック。これにより、キーが失効した場合でもお客様はコンプライアンスを維持できます。

機能サポート

CMEKが有効な場合、以下のAPI、マネージドエージェントリソース、およびツールは、お客様のキーで保存データを暗号化します。

API	マネージドエージェント	ツールと機能
Messages	Agents	Web検索
Models	Environments	Webフェッチ
Files	Sessions	コード実行
Batch	Vaults	Bashツール
Skills		テキストエディタツール
User profiles		MCPコネクタ
		構造化出力（Claude Sonnet 4.6およびClaude Haiku 4.5のみ）
		Advisorツール
		コンピュータ使用
		コンテキスト管理

制限事項

不可逆的なアクション： キーがワークスペースにアタッチされると、デタッチや交換はできません。同じキー内でのキーマテリアルのローテーション（例：AWS KMSの自動ローテーション、Cloud KMSのローテーションスケジュール、Azure Key Vaultのローテーションポリシー）は透過的にサポートされており、Anthropic側での変更は不要です。別のキーに切り替えるには、新しいキーで新しいワークスペースを作成し、データを移行する必要があります。キーを失効または無効化すると、そのワークスペース内のCMEKで保護されたすべてのデータに永久にアクセスできなくなり、元に戻す方法はありません。
遡及的な暗号化なし： CMEKは、キーが有効化された後に書き込まれたデータのみを保護します。
レイテンシ： データキーをラップまたはアンラップする操作は、お客様のキー管理サービスへのラウンドトリップを行うため、保存データの読み取りまたは書き込みを行うアクションにわずかなレイテンシが追加される可能性があります。
失効の遅延： キーの失効には最大1時間（キャッシュTTL）かかる場合があります。その間に既に処理中のリクエストは引き続き成功する可能性があります。

プロバイダーの設定

使用するキー管理サービスのガイドに従ってください。

AWS KMS

クロスアカウントキーポリシーを持つAWS KMSキーを作成し、登録して検証します。

Google Cloud KMS

Cloud KMS暗号キーを作成し、Anthropicのサービスアカウントにアクセス権を付与してから登録します。

Azure Key Vault

RSAキーを作成し、Anthropicのサービスプリンシパルにアクセス権を付与してから、登録して検証します。

Was this page helpful?

CMEKの有効化は永続的であり、不可逆的なデータ損失を引き起こす可能性があります

仕組み

前提条件

利用可能性とリージョン

CMEKが保護する対象

暗号化される対象

無効化または変更される対象

暗号化されない対象

機能サポート

制限事項

プロバイダーの設定

CMEKの有効化は永続的であり、不可逆的なデータ損失を引き起こす可能性があります

仕組み

前提条件

利用可能性とリージョン

CMEKが保護する対象

暗号化される対象

無効化または変更される対象

暗号化されない対象

機能サポート

制限事項

プロバイダーの設定