Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
A Claude API oferece suporte a duas formas de autenticar requisições:
| Método | Credencial | Ideal para |
|---|---|---|
| Chave de API | Segredo de longa duração sk-ant-api... no cabeçalho x-api-key | Desenvolvimento local, prototipagem, scripts e servidores de tenant único onde você controla o armazenamento de segredos |
| Workload Identity Federation | Bearer token de curta duração obtido por troca a partir do token de identidade do seu provedor de identidade | Workloads de produção em plataformas de nuvem (AWS, Google Cloud, Azure), pipelines de CI/CD e Kubernetes, onde você deseja eliminar segredos estáticos |
Ambos os métodos concedem o mesmo acesso aos endpoints da Claude API. Escolha chaves de API para começar rapidamente e migre para Workload Identity Federation quando seu workload já tiver uma identidade emitida pela plataforma que você possa federar.
Chaves de API são segredos estáticos que você gera no Claude Console e envia em cada requisição.
x-api-key em requisições HTTP diretas, ou defina a variável de ambiente ANTHROPIC_API_KEY e os SDKs de cliente a detectarão automaticamente.POST /v1/messages
x-api-key: YOUR_API_KEY
anthropic-version: 2023-06-01
content-type: application/jsonChaves de API não têm expiração. Armazene-as em um gerenciador de segredos, faça a rotação periodicamente e revogue qualquer chave que você suspeite ter vazado.
"Workload Identity Federation" (federação de identidade de workload), ou WIF, permite que um workload se autentique com um token de identidade de curta duração emitido por um "identity provider" (provedor de identidade), ou IdP, no qual você já confia, como AWS IAM, Google Cloud ou qualquer emissor OIDC em conformidade com os padrões (como GitHub Actions, contas de serviço do Kubernetes, SPIFFE, Microsoft Entra ID ou Okta). O workload troca seu JWT emitido pelo IdP em POST /v1/oauth/token por um token de acesso de curta duração da Claude API, e o SDK renova esse token automaticamente antes que ele expire. Não há nenhuma string sk-ant-api... para gerar, distribuir ou rotacionar.
A federação remove chaves de API de longa duração do Claude do seu ambiente, o que reduz o raio de impacto de uma credencial vazada e permite que você gerencie o acesso com os mesmos controles de IdP que já usa para recursos de nuvem. Por si só, ela não garante segurança de ponta a ponta: a cadeia de confiança é tão forte quanto a configuração do seu provedor de identidade, e um segredo de longa duração um nível acima na cadeia (por exemplo, uma credencial de nuvem estática capaz de gerar tokens do IdP) ainda pode comprometê-la. Combine a federação com os controles do seu provedor, como listas de IPs permitidos, MFA e registro de auditoria.
Para configurar a federação, você cria três recursos no Claude Console (uma conta de serviço, um emissor de federação e uma regra de federação) e, em seguida, aponta seu SDK para a regra. Consulte Workload Identity Federation para o passo a passo completo de configuração.
Configure emissores, regras e contas de serviço e, em seguida, troque tokens
Guias passo a passo para AWS, Google Cloud, Azure, GitHub Actions, Kubernetes, SPIFFE e Okta
Was this page helpful?
client = Anthropic(api_key="my-anthropic-api-key")
# ou, com ANTHROPIC_API_KEY definida no ambiente:
client = Anthropic()Variáveis de ambiente, regras de validação, configuração de perfil e referência de erros