管理暗号化キー

CMEK用のAWS KMSの設定

AWS KMSを使用して、組織の暗号化キーを提供します。

Configure with the /claude-api skill in Claude Code

claude "/claude-api help me configure a customer-managed encryption key with AWS KMS"

このガイドでは、Anthropic組織の「customer-managed encryption key」（顧客管理暗号化キー）、すなわちCMEKとしてAWS KMSキーを設定する手順を説明します。

CMEKの有効化は永続的です。KMSキーが削除または無効化された場合、Anthropicはそのキーで暗号化されたデータを復元できません。開始する前に、警告と制限事項を確認してください。

前提条件

KMSキーの作成とキーポリシーの設定権限（kms:CreateKeyおよびkms:PutKeyPolicy）を持つAWSアカウント。
組織のAnthropic Admin APIキー。
インストールおよび認証済みのAWS CLI。

AnthropicのAmazonリソースネーム（ARN）

Anthropicに暗号化キーを使用させるには、AnthropicのIAMロールにデータ暗号化に使用できるKMSキーを付与する必要があります。Anthropic CMEKのARNは次のとおりです。

arn:aws:iam::915198916910:role/anthropic-cmek-client-us

この公開されたARNのみを使用してください。メール、チャット、またはオンボーディングチャネルで提供された識別子は決して信頼しないでください。

暗号化キーのセットアップ

クロスアカウントキーポリシーを持つKMSキーを作成する

キーポリシーは、AnthropicのIAMロールにクロスアカウントアクセスを付与します。3つのステートメントが必要です。

アカウントルート管理者： 標準的なKMSパターンです。お客様のアカウントが完全な管理権限を保持します。
Anthropicの暗号化と復号： kms:Encryptおよびkms:Decryptアクションです。Anthropicはこれらを使用して、ワークスペースデータを保護するデータキーを暗号化および復号します（エンベロープ暗号化）。
Anthropicの記述： Anthropicが起動時に実行するメタデータの読み取りです。DescribeKeyにはEncryptionContextパラメータがないため、このアクションに対するEncryptionContext条件は常に拒否されることになります。そのため、これは個別に付与されます。

export YOUR_ACCOUNT=$(aws sts get-caller-identity --query Account --output text)

aws kms create-key \
  --region <region> \
  --description "Anthropic CMEK" \
  --key-usage ENCRYPT_DECRYPT \
  --policy "{
    \"Version\": \"2012-10-17\",
    \"Statement\": [
      {
        \"Sid\": \"AccountRootAdmin\",
        \"Effect\": \"Allow\",
        \"Principal\": {\"AWS\": \"arn:aws:iam::${YOUR_ACCOUNT}:root\"},
        \"Action\": \"kms:*\",
        \"Resource\": \"*\"
      },
      {
        \"Sid\": \"AllowAnthropicCMEKCrypto\",
        \"Effect\": \"Allow\",
        \"Principal\": {\"AWS\": \"arn:aws:iam::915198916910:role/anthropic-cmek-client-us\"},
        \"Action\": [\"kms:Encrypt\", \"kms:Decrypt\"],
        \"Resource\": \"*\",
        \"Condition\": {
          \"StringEquals\": {
            \"kms:EncryptionContext:anthropic:compartment_uuid\": \"<compartment-uuid>\"
          }
        }
      },
      {
        \"Sid\": \"AllowAnthropicCMEKDescribe\",
        \"Effect\": \"Allow\",
        \"Principal\": {\"AWS\": \"arn:aws:iam::915198916910:role/anthropic-cmek-client-us\"},
        \"Action\": \"kms:DescribeKey\",
        \"Resource\": \"*\"
      }
    ]
  }"

Anthropicにキーを登録する

Admin APIを通じて外部キー設定を作成します。

curl -sS https://api.anthropic.com/v1/organizations/external_keys \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "display_name": "<friendly-name>",
    "geo": "us",
    "provider_config": {
      "type": "aws",
      "kms_arn": "<key-arn-from-step-1>",
      "role_arn": "arn:aws:iam::915198916910:role/anthropic-cmek-client-us"
    }
  }'

レスポンスには外部キーIDが含まれます。

{
  "type": "external_key",
  "id": "ekey_<id>",
  "display_name": "<friendly-name>"
}

キーを検証する

キーに対して暗号化と復号のラウンドトリップをトリガーします。

curl -sS -X POST https://api.anthropic.com/v1/organizations/external_keys/ekey_<id>/validate \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" -d '{}'

成功した場合のレスポンスは次のようになります。

{ "type": "external_key_validation", "status": "success", "error": null }

キーをワークスペースにアタッチする

curl -sS -X POST https://api.anthropic.com/v1/organizations/workspaces/<workspace-id> \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "external_key_id": "ekey_<id>"
  }'

Terraform

Infrastructure-as-Codeデプロイメントの場合、同じ手順はawsプロバイダーのaws_kms_keyおよびaws_kms_aliasリソースにマッピングされます。

Was this page helpful?

AnthropicのAmazonリソースネーム（ARN）

arn:aws:iam::915198916910:role/anthropic-cmek-client-us

暗号化キーのセットアップ

クロスアカウントキーポリシーを持つKMSキーを作成する

キーポリシーは、AnthropicのIAMロールにクロスアカウントアクセスを付与します。3つのステートメントが必要です。

アカウントルート管理者： 標準的なKMSパターンです。お客様のアカウントが完全な管理権限を保持します。
Anthropicの暗号化と復号： kms:Encryptおよびkms:Decryptアクションです。Anthropicはこれらを使用して、ワークスペースデータを保護するデータキーを暗号化および復号します（エンベロープ暗号化）。
Anthropicの記述： Anthropicが起動時に実行するメタデータの読み取りです。DescribeKeyにはEncryptionContextパラメータがないため、このアクションに対するEncryptionContext条件は常に拒否されることになります。そのため、これは個別に付与されます。

export YOUR_ACCOUNT=$(aws sts get-caller-identity --query Account --output text)

aws kms create-key \
  --region <region> \
  --description "Anthropic CMEK" \
  --key-usage ENCRYPT_DECRYPT \
  --policy "{
    \"Version\": \"2012-10-17\",
    \"Statement\": [
      {
        \"Sid\": \"AccountRootAdmin\",
        \"Effect\": \"Allow\",
        \"Principal\": {\"AWS\": \"arn:aws:iam::${YOUR_ACCOUNT}:root\"},
        \"Action\": \"kms:*\",
        \"Resource\": \"*\"
      },
      {
        \"Sid\": \"AllowAnthropicCMEKCrypto\",
        \"Effect\": \"Allow\",
        \"Principal\": {\"AWS\": \"arn:aws:iam::915198916910:role/anthropic-cmek-client-us\"},
        \"Action\": [\"kms:Encrypt\", \"kms:Decrypt\"],
        \"Resource\": \"*\",
        \"Condition\": {
          \"StringEquals\": {
            \"kms:EncryptionContext:anthropic:compartment_uuid\": \"<compartment-uuid>\"
          }
        }
      },
      {
        \"Sid\": \"AllowAnthropicCMEKDescribe\",
        \"Effect\": \"Allow\",
        \"Principal\": {\"AWS\": \"arn:aws:iam::915198916910:role/anthropic-cmek-client-us\"},
        \"Action\": \"kms:DescribeKey\",
        \"Resource\": \"*\"
      }
    ]
  }"

Anthropicにキーを登録する

Admin APIを通じて外部キー設定を作成します。

curl -sS https://api.anthropic.com/v1/organizations/external_keys \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "display_name": "<friendly-name>",
    "geo": "us",
    "provider_config": {
      "type": "aws",
      "kms_arn": "<key-arn-from-step-1>",
      "role_arn": "arn:aws:iam::915198916910:role/anthropic-cmek-client-us"
    }
  }'

レスポンスには外部キーIDが含まれます。

{
  "type": "external_key",
  "id": "ekey_<id>",
  "display_name": "<friendly-name>"
}

キーを検証する

キーに対して暗号化と復号のラウンドトリップをトリガーします。

curl -sS -X POST https://api.anthropic.com/v1/organizations/external_keys/ekey_<id>/validate \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" -d '{}'

成功した場合のレスポンスは次のようになります。

{ "type": "external_key_validation", "status": "success", "error": null }

キーをワークスペースにアタッチする

curl -sS -X POST https://api.anthropic.com/v1/organizations/workspaces/<workspace-id> \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "external_key_id": "ekey_<id>"
  }'