管理暗号化キー

CMEK用のGoogle Cloud KMSの設定

Google Cloud KMSを使用して、組織に暗号化キーを提供します。

Configure with the /claude-api skill in Claude Code

claude "/claude-api help me configure a customer-managed encryption key with Google Cloud KMS"

このガイドでは、Anthropic組織の「customer-managed encryption key」（顧客管理暗号化キー）、すなわちCMEKとしてGoogle Cloud KMSキーを設定する手順を説明します。

CMEKの有効化は永続的です。KMSキーが削除または無効化された場合、Anthropicはそのキーで暗号化されたデータを復元できません。開始する前に、警告と制限事項を確認してください。

前提条件

課金が有効になっているGoogle Cloudプロジェクト。
Cloud KMS API（cloudkms.googleapis.com）が有効になっていること。
KMSキーリングとキーを作成し、それらにIAMポリシーを設定する権限（roles/cloudkms.adminまたは同等の権限）。
組織のAnthropic Admin APIキー。
gcloud CLIがインストールされ、認証されていること。
プロジェクトでCloud KMSのデータアクセス監査ログが有効になっていること（IAMと管理 > 監査ログ > Cloud Key Management Serviceで、DATA_READとDATA_WRITEを有効化）。これらはデフォルトでオフになっています。有効にしないと、Anthropicの暗号化および復号操作がCloud Loggingにエントリを生成しません。

Anthropicサービスアカウントのメールアドレス

Anthropicに暗号化キーを使用させるには、Anthropicのサービスアカウントにデータの暗号化に使用できるキーを付与する必要があります。Anthropic CMEKのサービスアカウントのメールアドレスは次のとおりです。

anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com

この公開されているサービスアカウントのメールアドレスのみを使用してください。メール、チャット、またはオンボーディングチャネルで提供された識別子を信頼しないでください。

ドメイン制限付き共有： プロジェクトがconstraints/iam.allowedPolicyMemberDomainsを適用するGoogle Cloud組織の下にある場合、Anthropicサービスアカウントが組織外にあるため、以下のIAMバインディングは拒否されます。その制約に対するプロジェクトレベルの例外を設定するか、AnthropicのCloud Identity顧客ID（形式はC0xxxxxxxx）を許可リストに追加する必要があります。顧客IDが必要な場合はAnthropicにお問い合わせください。

暗号化キーのセットアップ

キーリングを作成または選択する
再利用するキーリングがすでにある場合は、この手順をスキップしてください。キーリングはリージョナルです。設定しているAnthropicの地理的リージョンに一致する、us-east5などの単一リージョンの米国ロケーションを選択してください。usやglobalなどのマルチリージョンロケーションはサポートされていません。
gcloud kms keyrings create <your-keyring-name> \ --project=<your-project-id> \ --location=<region>
暗号鍵を作成する
ENCRYPT_DECRYPTの目的を持つ対称鍵を作成します。HSM保護を強く推奨します。Cloud KMS HSMキーはFIPS 140-2 Level 3の検証を受けており、ソフトウェアキーとのコスト差はわずかです。
gcloud kms keys create <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --purpose=encryption \ --protection-level=hsm
代わりにソフトウェア保護を使用する場合は、--protection-level=hsmを省略してください。このガイドの他の部分は変更されません。
Google Cloud Consoleからキーを作成することもできます。キーリングを開き、鍵を作成をクリックし、生成された鍵を選択し、目的とアルゴリズムを対称暗号化/復号に設定し、保護レベルでHSMを選択します。
HSM保護された対称暗号化/復号キーを作成します。
Anthropicのサービスアカウントにキーへのアクセス権を付与する
キーレベルのIAMバインディングが2つ必要です。どちらもプロジェクト全体やキーリング全体ではなく、単一の暗号鍵にスコープされます。
暗号化と復号。Anthropicはこれを使用して、ワークスペースデータを保護するデータキーを暗号化および復号します（エンベロープ暗号化）。
gcloud kms keys add-iam-policy-binding <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --member="serviceAccount:anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com" \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
閲覧者。Anthropicが起動時にキーの目的とアルゴリズムを検証するために実行するメタデータ読み取り（cryptoKeys.get）用です。
gcloud kms keys add-iam-policy-binding <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --member="serviceAccount:anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com" \ --role=roles/cloudkms.viewer
Consoleからは、キーを選択し、権限パネルを開き、アクセス権を付与をクリックして、Cloud KMS CryptoKey Encrypter/DecrypterロールとCloud KMS Viewerロールの両方を持つサービスアカウントを追加します。付与がこのキーのみにスコープされるように、キーリングやプロジェクトではなく、キーの権限ページにいることを確認してください。
Anthropicサービスアカウントに、キーにスコープされた両方のロールを付与します。
キーの完全なリソース名を記録する
キーを登録する際にこれをAnthropicに渡します。形式は次のとおりです。
```
projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>
```
次のコマンドで取得します。
gcloud kms keys describe <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --format="value(name)"
Consoleからは、キーの詳細ページを開き、リソース名をコピーをクリックします。
アクションメニューからキーの完全なリソース名をコピーします。

Anthropicにキーを登録する

前の手順で取得したリソース名を使用して、Admin APIを通じて外部キー設定を作成します。

curl -sS https://api.anthropic.com/v1/organizations/external_keys \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "display_name": "<friendly-name>",
    "geo": "us",
    "provider_config": {
      "type": "gcp",
      "key_name": "projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>"
    }
  }'

レスポンスには外部キーIDが含まれます。

{
  "type": "external_key",
  "id": "ekey_<id>",
  "display_name": "<friendly-name>"
}

キーを検証する
キーに対して暗号化と復号のラウンドトリップをトリガーします。
curl -sS -X POST https://api.anthropic.com/v1/organizations/external_keys/ekey_<id>/validate \ -H "x-api-key: <anthropic-admin-api-key>" \ -H "anthropic-version: 2023-06-01" \ -H "content-type: application/json" -d '{}'
成功したレスポンスは次のようになります。
{ "type": "external_key_validation", "status": "success", "error": null }
検証が失敗した場合、一般的な原因は次のとおりです。
- VPC Service Controls： サービス境界がプロジェクト内のCloud KMSを保護している場合、Anthropicがキーに到達できるように、境界のアクセスレベルにAnthropicを追加する（またはキーのプロジェクトを除外する）必要があります。
- ドメイン制限付き共有： constraints/iam.allowedPolicyMemberDomains組織ポリシーにより、Anthropicサービスアカウントのバインディングが削除される可能性があります（上記の注を参照）。gcloud kms keys get-iam-policy <your-key-name> --project=<your-project-id> --location=<region> --keyring=<your-keyring-name>でバインディングが存在することを確認してください。
- 無効化または破棄されたキーバージョン： キーのプライマリバージョンが有効であり、無効化、破棄予定、または破棄済みでないことを確認してください。

キーをワークスペースにアタッチする

curl -sS -X POST https://api.anthropic.com/v1/organizations/workspaces/<workspace-id> \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "external_key_id": "ekey_<id>"
  }'

Terraform

Infrastructure-as-Codeデプロイメントの場合、同じ手順はgoogleプロバイダーのgoogle_kms_key_ring、google_kms_crypto_key、およびgoogle_kms_crypto_key_iam_memberリソースに対応します。

Was this page helpful?

前提条件

課金が有効になっているGoogle Cloudプロジェクト。

Cloud KMS API（cloudkms.googleapis.com）が有効になっていること。

KMSキーリングとキーを作成し、それらにIAMポリシーを設定する権限（roles/cloudkms.adminまたは同等の権限）。

組織のAnthropic Admin APIキー。

gcloud CLIがインストールされ、認証されていること。

プロジェクトでCloud KMSのデータアクセス監査ログが有効になっていること（IAMと管理 > 監査ログ > Cloud Key Management Serviceで、DATA_READとDATA_WRITEを有効化）。これらはデフォルトでオフになっています。有効にしないと、Anthropicの暗号化および復号操作がCloud Loggingにエントリを生成しません。

Anthropicサービスアカウントのメールアドレス

anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com

暗号化キーのセットアップ

キーリングを作成または選択する
再利用するキーリングがすでにある場合は、この手順をスキップしてください。キーリングはリージョナルです。設定しているAnthropicの地理的リージョンに一致する、us-east5などの単一リージョンの米国ロケーションを選択してください。usやglobalなどのマルチリージョンロケーションはサポートされていません。
gcloud kms keyrings create <your-keyring-name> \ --project=<your-project-id> \ --location=<region>
暗号鍵を作成する
ENCRYPT_DECRYPTの目的を持つ対称鍵を作成します。HSM保護を強く推奨します。Cloud KMS HSMキーはFIPS 140-2 Level 3の検証を受けており、ソフトウェアキーとのコスト差はわずかです。
gcloud kms keys create <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --purpose=encryption \ --protection-level=hsm
代わりにソフトウェア保護を使用する場合は、--protection-level=hsmを省略してください。このガイドの他の部分は変更されません。
Google Cloud Consoleからキーを作成することもできます。キーリングを開き、鍵を作成をクリックし、生成された鍵を選択し、目的とアルゴリズムを対称暗号化/復号に設定し、保護レベルでHSMを選択します。
HSM保護された対称暗号化/復号キーを作成します。
Anthropicのサービスアカウントにキーへのアクセス権を付与する
キーレベルのIAMバインディングが2つ必要です。どちらもプロジェクト全体やキーリング全体ではなく、単一の暗号鍵にスコープされます。
暗号化と復号。Anthropicはこれを使用して、ワークスペースデータを保護するデータキーを暗号化および復号します（エンベロープ暗号化）。
gcloud kms keys add-iam-policy-binding <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --member="serviceAccount:anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com" \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
閲覧者。Anthropicが起動時にキーの目的とアルゴリズムを検証するために実行するメタデータ読み取り（cryptoKeys.get）用です。
gcloud kms keys add-iam-policy-binding <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --member="serviceAccount:anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com" \ --role=roles/cloudkms.viewer
Consoleからは、キーを選択し、権限パネルを開き、アクセス権を付与をクリックして、Cloud KMS CryptoKey Encrypter/DecrypterロールとCloud KMS Viewerロールの両方を持つサービスアカウントを追加します。付与がこのキーのみにスコープされるように、キーリングやプロジェクトではなく、キーの権限ページにいることを確認してください。
Anthropicサービスアカウントに、キーにスコープされた両方のロールを付与します。
キーの完全なリソース名を記録する
キーを登録する際にこれをAnthropicに渡します。形式は次のとおりです。
```
projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>
```
次のコマンドで取得します。
gcloud kms keys describe <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --format="value(name)"
Consoleからは、キーの詳細ページを開き、リソース名をコピーをクリックします。
アクションメニューからキーの完全なリソース名をコピーします。

Anthropicにキーを登録する

前の手順で取得したリソース名を使用して、Admin APIを通じて外部キー設定を作成します。

curl -sS https://api.anthropic.com/v1/organizations/external_keys \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "display_name": "<friendly-name>",
    "geo": "us",
    "provider_config": {
      "type": "gcp",
      "key_name": "projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>"
    }
  }'

レスポンスには外部キーIDが含まれます。

{
  "type": "external_key",
  "id": "ekey_<id>",
  "display_name": "<friendly-name>"
}

キーを検証する
キーに対して暗号化と復号のラウンドトリップをトリガーします。
curl -sS -X POST https://api.anthropic.com/v1/organizations/external_keys/ekey_<id>/validate \ -H "x-api-key: <anthropic-admin-api-key>" \ -H "anthropic-version: 2023-06-01" \ -H "content-type: application/json" -d '{}'
成功したレスポンスは次のようになります。
{ "type": "external_key_validation", "status": "success", "error": null }
検証が失敗した場合、一般的な原因は次のとおりです。
- VPC Service Controls： サービス境界がプロジェクト内のCloud KMSを保護している場合、Anthropicがキーに到達できるように、境界のアクセスレベルにAnthropicを追加する（またはキーのプロジェクトを除外する）必要があります。
- ドメイン制限付き共有： constraints/iam.allowedPolicyMemberDomains組織ポリシーにより、Anthropicサービスアカウントのバインディングが削除される可能性があります（上記の注を参照）。gcloud kms keys get-iam-policy <your-key-name> --project=<your-project-id> --location=<region> --keyring=<your-keyring-name>でバインディングが存在することを確認してください。
- 無効化または破棄されたキーバージョン： キーのプライマリバージョンが有効であり、無効化、破棄予定、または破棄済みでないことを確認してください。

キーをワークスペースにアタッチする

curl -sS -X POST https://api.anthropic.com/v1/organizations/workspaces/<workspace-id> \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "external_key_id": "ekey_<id>"
  }'