AdministraçãoChaves de criptografia

Chaves de criptografia gerenciadas pelo cliente

Criptografe dados de workspace do Claude em repouso com uma chave que você controla.

Learn more with the /claude-api skill in Claude Code

claude "/claude-api tell me about customer-managed encryption keys"

Uma "customer-managed encryption key" (chave de criptografia gerenciada pelo cliente), ou CMEK, permite que você provisione uma chave de criptografia no seu próprio AWS KMS, Google Cloud KMS ou Azure Key Vault e faça com que a Anthropic a use para criptografar determinados dados de workspace em repouso. Você mantém controle total da chave, incluindo rotação, auditoria e revogação, e as operações de chave que a Anthropic executa com sua chave são registradas nos logs de auditoria do seu provedor de nuvem.

As organizações podem optar por usar chaves de criptografia gerenciadas pelo cliente em vez da criptografia padrão que a Anthropic fornece.

Como funciona

A CMEK é anexada por workspace. Apenas administradores podem configurá-la. A CMEK protege dados gravados após a chave ser habilitada. Dados existentes (chats, arquivos e sessões anteriores) permanecem criptografados com chaves gerenciadas pela Anthropic e não são recriptografados com sua chave.

Os eventos de configuração de administrador de CMEK aparecem no Feed de Atividades da Compliance API. As operações de chave que a Anthropic executa com sua chave (como encapsular e desencapsular chaves de dados) não aparecem na Compliance API; elas aparecem nos logs de auditoria do seu provedor de nuvem.

Pré-requisitos

Acesso de Cloud Admin na conta, projeto ou assinatura que hospedará a chave de criptografia.
Uma função de Organization Admin no Anthropic Console (ou Owner / Primary Owner).

Disponibilidade e regiões

A CMEK está atualmente disponível apenas em regiões dos EUA, e todas as operações de criptografia são processadas em regiões dos EUA. Chaves multirregionais e residência de chave na UE ainda não são suportadas.

No Claude Platform on AWS, a CMEK está disponível apenas com chaves do AWS KMS; chaves do Google Cloud KMS e do Azure Key Vault não podem ser registradas. Crie, valide e anexe chaves no Claude Console; os endpoints da API external_keys não estão atualmente disponíveis no Claude Platform on AWS. A chave deve estar na mesma região da AWS que o workspace ao qual está anexada.

A CMEK não é atualmente suportada para organizações com HIPAA habilitado. O suporte para usar CMEK em conjunto com HIPAA está planejado. Se sua organização tiver HIPAA habilitado, entre em contato com seu representante da Anthropic antes de configurar a CMEK.

Para latência mínima, escolha uma região próxima à infraestrutura da Anthropic nos EUA:

Provedor	Regiões recomendadas
AWS	`us-east-2`
Google Cloud	`us-central1`, `us-east5`
Azure	`northcentralus`, `eastus2`

O que a CMEK protege

Criptografado

Conteúdo de mensagens, incluindo anexos de arquivo inline enviados com uma requisição, e configuração de MCP e ferramentas.
Backups e snapshots herdam a chave.

Desabilitado ou modificado

Alguns recursos são desativados ou substancialmente modificados quando a CMEK está habilitada:

Memória de agente gerenciado e agent dreaming são desabilitados.
Recursos beta e de research preview podem não ser cobertos pela CMEK.

Não criptografado

Esses recursos permanecem disponíveis, mas seus dados não são criptografados com sua chave. Você pode desabilitar qualquer recurso que não seja apropriado para seu caso de uso em Configurações.

Workbench no Console.
Dados que não estão em repouso (como cache) e dados com TTL menor que 24 horas.
Feed de Atividades, logs de auditoria e tráfego de rede de telemetria como OTEL, para que os clientes possam manter a conformidade mesmo se uma chave for revogada.

Suporte a recursos

As seguintes APIs, recursos de agente gerenciado e ferramentas armazenam dados em repouso sob sua chave quando a CMEK está habilitada:

APIs	Agentes Gerenciados	Ferramentas e recursos
Messages	Agents	Web search
Models	Environments	Web fetch
Files	Sessions	Code execution
Batch	Vaults	Bash tool
Skills		Text editor tool
User profiles		MCP connector
		Structured outputs (apenas Claude Sonnet 4.6 e Claude Haiku 4.5)
		Advisor tool
		Computer use
		Context management

Limitações

Ação irreversível: uma vez que uma chave é anexada a um workspace, ela não pode ser desanexada ou trocada. A rotação do material de chave dentro da mesma chave (por exemplo, rotação automática do AWS KMS, um cronograma de rotação do Cloud KMS ou uma política de rotação do Azure Key Vault) é suportada de forma transparente e não requer nenhuma alteração na Anthropic. Mudar para uma chave diferente requer criar um novo workspace com a nova chave e migrar seus dados. Revogar ou desabilitar a chave torna todos os dados protegidos por CMEK nesse workspace permanentemente inacessíveis, sem caminho de reversão.
Sem criptografia retroativa: a CMEK protege apenas dados gravados após a chave ser habilitada.
Latência: operações que encapsulam ou desencapsulam chaves de dados fazem uma ida e volta ao seu serviço de gerenciamento de chaves, o que pode adicionar uma pequena quantidade de latência a ações que leem ou gravam dados em repouso.
Atraso de revogação: a revogação de chave pode levar até uma hora (o TTL do cache). Requisições já em andamento durante essa janela podem continuar a ter sucesso.

Configure seu provedor

Siga o guia para o serviço de gerenciamento de chaves que você usa.

AWS KMS

Crie uma chave do AWS KMS com uma política de chave entre contas, depois registre-a e valide-a.

Google Cloud KMS

Crie uma chave criptográfica do Cloud KMS, conceda acesso à conta de serviço da Anthropic e depois registre-a.

Azure Key Vault

Crie uma chave RSA, conceda acesso ao service principal da Anthropic, depois registre-a e valide-a.

Was this page helpful?

AdministraçãoChaves de criptografia

Chaves de criptografia gerenciadas pelo cliente

Criptografe dados de workspace do Claude em repouso com uma chave que você controla.

Learn more with the /claude-api skill in Claude Code

claude "/claude-api tell me about customer-managed encryption keys"

As organizações podem optar por usar chaves de criptografia gerenciadas pelo cliente em vez da criptografia padrão que a Anthropic fornece.

Como funciona

Pré-requisitos

Acesso de Cloud Admin na conta, projeto ou assinatura que hospedará a chave de criptografia.
Uma função de Organization Admin no Anthropic Console (ou Owner / Primary Owner).

Disponibilidade e regiões

Para latência mínima, escolha uma região próxima à infraestrutura da Anthropic nos EUA:

Provedor	Regiões recomendadas
AWS	`us-east-2`
Google Cloud	`us-central1`, `us-east5`
Azure	`northcentralus`, `eastus2`

O que a CMEK protege

Criptografado

Conteúdo de mensagens, incluindo anexos de arquivo inline enviados com uma requisição, e configuração de MCP e ferramentas.
Backups e snapshots herdam a chave.

Desabilitado ou modificado

Alguns recursos são desativados ou substancialmente modificados quando a CMEK está habilitada:

Memória de agente gerenciado e agent dreaming são desabilitados.
Recursos beta e de research preview podem não ser cobertos pela CMEK.

Não criptografado

Workbench no Console.
Dados que não estão em repouso (como cache) e dados com TTL menor que 24 horas.
Feed de Atividades, logs de auditoria e tráfego de rede de telemetria como OTEL, para que os clientes possam manter a conformidade mesmo se uma chave for revogada.

Suporte a recursos

As seguintes APIs, recursos de agente gerenciado e ferramentas armazenam dados em repouso sob sua chave quando a CMEK está habilitada:

APIs	Agentes Gerenciados	Ferramentas e recursos
Messages	Agents	Web search
Models	Environments	Web fetch
Files	Sessions	Code execution
Batch	Vaults	Bash tool
Skills		Text editor tool
User profiles		MCP connector
		Structured outputs (apenas Claude Sonnet 4.6 e Claude Haiku 4.5)
		Advisor tool
		Computer use
		Context management

Limitações

Ação irreversível: uma vez que uma chave é anexada a um workspace, ela não pode ser desanexada ou trocada. A rotação do material de chave dentro da mesma chave (por exemplo, rotação automática do AWS KMS, um cronograma de rotação do Cloud KMS ou uma política de rotação do Azure Key Vault) é suportada de forma transparente e não requer nenhuma alteração na Anthropic. Mudar para uma chave diferente requer criar um novo workspace com a nova chave e migrar seus dados. Revogar ou desabilitar a chave torna todos os dados protegidos por CMEK nesse workspace permanentemente inacessíveis, sem caminho de reversão.
Sem criptografia retroativa: a CMEK protege apenas dados gravados após a chave ser habilitada.
Latência: operações que encapsulam ou desencapsulam chaves de dados fazem uma ida e volta ao seu serviço de gerenciamento de chaves, o que pode adicionar uma pequena quantidade de latência a ações que leem ou gravam dados em repouso.
Atraso de revogação: a revogação de chave pode levar até uma hora (o TTL do cache). Requisições já em andamento durante essa janela podem continuar a ter sucesso.

Configure seu provedor

Siga o guia para o serviço de gerenciamento de chaves que você usa.

AWS KMS

Crie uma chave do AWS KMS com uma política de chave entre contas, depois registre-a e valide-a.

Google Cloud KMS

Crie uma chave criptográfica do Cloud KMS, conceda acesso à conta de serviço da Anthropic e depois registre-a.

Azure Key Vault

Crie uma chave RSA, conceda acesso ao service principal da Anthropic, depois registre-a e valide-a.

Was this page helpful?

Habilitar CMEK é permanente e pode causar perda irreversível de dados

Como funciona

Pré-requisitos

Disponibilidade e regiões

O que a CMEK protege

Criptografado

Desabilitado ou modificado

Não criptografado

Suporte a recursos

Limitações

Configure seu provedor

Habilitar CMEK é permanente e pode causar perda irreversível de dados

Como funciona

Pré-requisitos

Disponibilidade e regiões

O que a CMEK protege

Criptografado

Desabilitado ou modificado

Não criptografado

Suporte a recursos

Limitações

Configure seu provedor