AdministraçãoAutenticação

Autenticação

Autentique-se na Claude API com chaves de API ou Workload Identity Federation.

A Claude API oferece suporte a duas formas de autenticar requisições:

Método	Credencial	Ideal para
Chave de API	Segredo de longa duração `sk-ant-api...` no cabeçalho `x-api-key`	Desenvolvimento local, prototipagem, scripts e servidores de tenant único onde você controla o armazenamento de segredos
Workload Identity Federation	Bearer token de curta duração obtido por troca a partir do token de identidade do seu provedor de identidade	Workloads de produção em plataformas de nuvem (AWS, Google Cloud, Azure), pipelines de CI/CD e Kubernetes, onde você deseja eliminar segredos estáticos

Ambos os métodos concedem o mesmo acesso aos endpoints da Claude API. Escolha chaves de API para começar rapidamente e migre para Workload Identity Federation quando seu workload já tiver uma identidade emitida pela plataforma que você possa federar.

Chaves de API

Chaves de API são segredos estáticos que você gera no Claude Console e envia em cada requisição.

Criar uma chave: Acesse Settings → API keys no Claude Console. Use workspaces para limitar o escopo das chaves por projeto ou ambiente.
Enviar a chave: Defina o cabeçalho x-api-key em requisições HTTP diretas, ou defina a variável de ambiente ANTHROPIC_API_KEY e os SDKs de cliente a detectarão automaticamente.

POST /v1/messages
x-api-key: YOUR_API_KEY
anthropic-version: 2023-06-01
content-type: application/json

Chaves de API não têm expiração. Armazene-as em um gerenciador de segredos, faça a rotação periodicamente e revogue qualquer chave que você suspeite ter vazado.

client = Anthropic(api_key="my-anthropic-api-key")
# ou, com ANTHROPIC_API_KEY definida no ambiente:
client = Anthropic()

Workload Identity Federation

"Workload Identity Federation" (federação de identidade de workload), ou WIF, permite que um workload se autentique com um token de identidade de curta duração emitido por um "identity provider" (provedor de identidade), ou IdP, no qual você já confia, como AWS IAM, Google Cloud ou qualquer emissor OIDC em conformidade com os padrões (como GitHub Actions, contas de serviço do Kubernetes, SPIFFE, Microsoft Entra ID ou Okta). O workload troca seu JWT emitido pelo IdP em POST /v1/oauth/token por um token de acesso de curta duração da Claude API, e o SDK renova esse token automaticamente antes que ele expire. Não há nenhuma string sk-ant-api... para gerar, distribuir ou rotacionar.

A federação remove chaves de API de longa duração do Claude do seu ambiente, o que reduz o raio de impacto de uma credencial vazada e permite que você gerencie o acesso com os mesmos controles de IdP que já usa para recursos de nuvem. Por si só, ela não garante segurança de ponta a ponta: a cadeia de confiança é tão forte quanto a configuração do seu provedor de identidade, e um segredo de longa duração um nível acima na cadeia (por exemplo, uma credencial de nuvem estática capaz de gerar tokens do IdP) ainda pode comprometê-la. Combine a federação com os controles do seu provedor, como listas de IPs permitidos, MFA e registro de auditoria.

Para configurar a federação, você cria três recursos no Claude Console (uma conta de serviço, um emissor de federação e uma regra de federação) e, em seguida, aponta seu SDK para a regra. Consulte Workload Identity Federation para o passo a passo completo de configuração.

Próximos passos

Configurar Workload Identity Federation

Configure emissores, regras e contas de serviço e, em seguida, troque tokens

Guias de provedores de identidade

Guias passo a passo para AWS, Google Cloud, Azure, GitHub Actions, Kubernetes, SPIFFE e Okta

Referência de WIF

Variáveis de ambiente, regras de validação, configuração de perfil e referência de erros

SDKs de cliente

Python, TypeScript, C#, Go, Java, PHP, Ruby e a CLI

Was this page helpful?

Método

Credencial

Ideal para

Chave de API

Segredo de longa duração sk-ant-api... no cabeçalho x-api-key

Desenvolvimento local, prototipagem, scripts e servidores de tenant único onde você controla o armazenamento de segredos

Workload Identity Federation

Bearer token de curta duração obtido por troca a partir do token de identidade do seu provedor de identidade

Workloads de produção em plataformas de nuvem (AWS, Google Cloud, Azure), pipelines de CI/CD e Kubernetes, onde você deseja eliminar segredos estáticos

Chaves de API

Chaves de API são segredos estáticos que você gera no Claude Console e envia em cada requisição.

Criar uma chave: Acesse Settings → API keys no Claude Console. Use workspaces para limitar o escopo das chaves por projeto ou ambiente.

Enviar a chave: Defina o cabeçalho x-api-key em requisições HTTP diretas, ou defina a variável de ambiente ANTHROPIC_API_KEY e os SDKs de cliente a detectarão automaticamente.

POST /v1/messages
x-api-key: YOUR_API_KEY
anthropic-version: 2023-06-01
content-type: application/json

Chaves de API não têm expiração. Armazene-as em um gerenciador de segredos, faça a rotação periodicamente e revogue qualquer chave que você suspeite ter vazado.

client = Anthropic(api_key="my-anthropic-api-key")
# ou, com ANTHROPIC_API_KEY definida no ambiente:
client = Anthropic()

Workload Identity Federation