AdministraçãoChaves de criptografia

Configurar o Google Cloud KMS para CMEK

Use o Google Cloud KMS para fornecer uma chave de criptografia para sua organização.

Configure with the /claude-api skill in Claude Code

claude "/claude-api help me configure a customer-managed encryption key with Google Cloud KMS"

Este guia orienta você na configuração de uma chave do Google Cloud KMS como uma "customer-managed encryption key" (chave de criptografia gerenciada pelo cliente), ou CMEK, para sua organização Anthropic.

Habilitar CMEK é permanente. Se sua chave KMS for excluída ou desabilitada, a Anthropic não poderá recuperar os dados criptografados com ela. Revise os avisos e limitações antes de começar.

Pré-requisitos

Um projeto do Google Cloud com faturamento habilitado.
A API do Cloud KMS habilitada (cloudkms.googleapis.com).
Permissões para criar key rings e chaves do KMS, e para definir políticas de IAM neles (roles/cloudkms.admin ou equivalente).
Uma chave de API de Admin da Anthropic para sua organização.
A CLI gcloud instalada e autenticada.
Os Data Access audit logs (registros de auditoria de acesso a dados) do Cloud KMS habilitados para o projeto (IAM & Admin > Audit Logs > Cloud Key Management Service, com DATA_READ e DATA_WRITE). Eles estão desativados por padrão; sem eles, as operações de criptografia e descriptografia da Anthropic não produzem entradas no Cloud Logging.

E-mail da conta de serviço da Anthropic

Para que a Anthropic use sua chave de criptografia, você deve conceder à conta de serviço da Anthropic uma chave que ela possa usar para criptografar dados. O e-mail da conta de serviço para CMEK da Anthropic é:

anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com

Use apenas este e-mail de conta de serviço publicado. Nunca confie em um identificador fornecido por e-mail, chat ou qualquer canal de onboarding.

Compartilhamento restrito por domínio: se seu projeto estiver em uma organização do Google Cloud que aplica constraints/iam.allowedPolicyMemberDomains, as vinculações de IAM abaixo serão rejeitadas porque a conta de serviço da Anthropic está fora da sua organização. Você precisa de uma exceção no nível do projeto para essa restrição, ou adicionar o ID de cliente do Cloud Identity da Anthropic (formato C0xxxxxxxx) à lista de permitidos. Entre em contato com a Anthropic para obter o ID de cliente, se necessário.

Configuração da chave de criptografia

Crie ou escolha um key ring
Pule esta etapa se você já tiver um key ring para reutilizar. Key rings são regionais. Escolha uma localização de região única nos EUA, como us-east5, que corresponda à geografia da Anthropic que você está configurando. Localizações multirregionais como us e global não são suportadas.
gcloud kms keyrings create <your-keyring-name> \ --project=<your-project-id> \ --location=<region>
Crie a chave criptográfica
Crie uma chave simétrica com a finalidade ENCRYPT_DECRYPT. A proteção HSM é fortemente recomendada: as chaves HSM do Cloud KMS são validadas pelo FIPS 140-2 Nível 3, e a diferença de custo em relação às chaves de software é pequena.
gcloud kms keys create <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --purpose=encryption \ --protection-level=hsm
Para usar proteção de software em vez disso, omita --protection-level=hsm. Nada mais neste guia muda.
Você também pode criar a chave pelo Google Cloud Console. Abra o key ring, clique em Create key, selecione Generated key, defina a finalidade e o algoritmo como criptografia/descriptografia simétrica e escolha HSM em nível de proteção.
Crie uma chave simétrica de criptografia/descriptografia protegida por HSM.
Conceda à conta de serviço da Anthropic acesso à chave
Duas vinculações de IAM no nível da chave são necessárias. Ambas têm escopo limitado à chave criptográfica específica, não ao projeto inteiro nem ao key ring inteiro.
Criptografar e descriptografar, que a Anthropic usa para criptografar e descriptografar as chaves de dados que protegem os dados do seu workspace (criptografia de envelope):
gcloud kms keys add-iam-policy-binding <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --member="serviceAccount:anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com" \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Viewer, para a leitura de metadados (cryptoKeys.get) que a Anthropic executa na inicialização para validar a finalidade e o algoritmo da chave:
gcloud kms keys add-iam-policy-binding <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --member="serviceAccount:anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com" \ --role=roles/cloudkms.viewer
No Console, selecione a chave, abra o painel Permissions, clique em Grant access e adicione a conta de serviço com os papéis Cloud KMS CryptoKey Encrypter/Decrypter e Cloud KMS Viewer. Certifique-se de estar na página de permissões da chave, não do key ring ou do projeto, para que a concessão tenha escopo limitado apenas a esta chave.
Conceda à conta de serviço da Anthropic ambos os papéis, com escopo limitado à chave.

Anote o nome completo do recurso da chave

Você passa isso para a Anthropic ao registrar a chave. O formato é:

projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>

Recupere-o com:

gcloud kms keys describe <your-key-name> \
  --project=<your-project-id> \
  --location=<region> \
  --keyring=<your-keyring-name> \
  --format="value(name)"

No Console, abra a página de detalhes da chave e clique em Copy resource name.

Detalhes do key ring do Google Cloud com a ação Copy resource name destacada no menu de ações da chave. — Copie o nome completo do recurso da chave no menu de ações.

Registre a chave na Anthropic

Crie uma configuração de chave externa por meio da Admin API, usando o nome do recurso da etapa anterior.

curl -sS https://api.anthropic.com/v1/organizations/external_keys \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "display_name": "<friendly-name>",
    "geo": "us",
    "provider_config": {
      "type": "gcp",
      "key_name": "projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>"
    }
  }'

A resposta contém o ID da chave externa:

{
  "type": "external_key",
  "id": "ekey_<id>",
  "display_name": "<friendly-name>"
}

Valide a chave
Acione uma operação completa de criptografia e descriptografia na sua chave.
curl -sS -X POST https://api.anthropic.com/v1/organizations/external_keys/ekey_<id>/validate \ -H "x-api-key: <anthropic-admin-api-key>" \ -H "anthropic-version: 2023-06-01" \ -H "content-type: application/json" -d '{}'
Uma resposta bem-sucedida tem esta aparência:
{ "type": "external_key_validation", "status": "success", "error": null }
Se a validação falhar, as causas comuns são:
- VPC Service Controls: se um perímetro de serviço protege o Cloud KMS no seu projeto, adicione a Anthropic a um nível de acesso no perímetro (ou exclua o projeto da chave) para que a Anthropic possa acessar a chave.
- Compartilhamento restrito por domínio: a política da organização constraints/iam.allowedPolicyMemberDomains pode remover a vinculação da conta de serviço da Anthropic (veja a nota acima). Confirme que a vinculação está presente com gcloud kms keys get-iam-policy <your-key-name> --project=<your-project-id> --location=<region> --keyring=<your-keyring-name>.
- Versão da chave desabilitada ou destruída: confirme que a versão primária da chave está habilitada, e não desabilitada, agendada para destruição ou destruída.

Anexe a chave a um workspace

curl -sS -X POST https://api.anthropic.com/v1/organizations/workspaces/<workspace-id> \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "external_key_id": "ekey_<id>"
  }'

Terraform

Para implantações de infraestrutura como código, as mesmas etapas correspondem ao provider google com os recursos google_kms_key_ring, google_kms_crypto_key e google_kms_crypto_key_iam_member.

Was this page helpful?

Pré-requisitos

Um projeto do Google Cloud com faturamento habilitado.

A API do Cloud KMS habilitada (cloudkms.googleapis.com).

Permissões para criar key rings e chaves do KMS, e para definir políticas de IAM neles (roles/cloudkms.admin ou equivalente).

Uma chave de API de Admin da Anthropic para sua organização.

A CLI gcloud instalada e autenticada.

Os Data Access audit logs (registros de auditoria de acesso a dados) do Cloud KMS habilitados para o projeto (IAM & Admin > Audit Logs > Cloud Key Management Service, com DATA_READ e DATA_WRITE). Eles estão desativados por padrão; sem eles, as operações de criptografia e descriptografia da Anthropic não produzem entradas no Cloud Logging.

E-mail da conta de serviço da Anthropic

anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com

Use apenas este e-mail de conta de serviço publicado. Nunca confie em um identificador fornecido por e-mail, chat ou qualquer canal de onboarding.

Configuração da chave de criptografia

Crie ou escolha um key ring
Pule esta etapa se você já tiver um key ring para reutilizar. Key rings são regionais. Escolha uma localização de região única nos EUA, como us-east5, que corresponda à geografia da Anthropic que você está configurando. Localizações multirregionais como us e global não são suportadas.
gcloud kms keyrings create <your-keyring-name> \ --project=<your-project-id> \ --location=<region>
Crie a chave criptográfica
Crie uma chave simétrica com a finalidade ENCRYPT_DECRYPT. A proteção HSM é fortemente recomendada: as chaves HSM do Cloud KMS são validadas pelo FIPS 140-2 Nível 3, e a diferença de custo em relação às chaves de software é pequena.
gcloud kms keys create <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --purpose=encryption \ --protection-level=hsm
Para usar proteção de software em vez disso, omita --protection-level=hsm. Nada mais neste guia muda.
Você também pode criar a chave pelo Google Cloud Console. Abra o key ring, clique em Create key, selecione Generated key, defina a finalidade e o algoritmo como criptografia/descriptografia simétrica e escolha HSM em nível de proteção.
Crie uma chave simétrica de criptografia/descriptografia protegida por HSM.
Conceda à conta de serviço da Anthropic acesso à chave
Duas vinculações de IAM no nível da chave são necessárias. Ambas têm escopo limitado à chave criptográfica específica, não ao projeto inteiro nem ao key ring inteiro.
Criptografar e descriptografar, que a Anthropic usa para criptografar e descriptografar as chaves de dados que protegem os dados do seu workspace (criptografia de envelope):
gcloud kms keys add-iam-policy-binding <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --member="serviceAccount:anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com" \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Viewer, para a leitura de metadados (cryptoKeys.get) que a Anthropic executa na inicialização para validar a finalidade e o algoritmo da chave:
gcloud kms keys add-iam-policy-binding <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --member="serviceAccount:anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com" \ --role=roles/cloudkms.viewer
No Console, selecione a chave, abra o painel Permissions, clique em Grant access e adicione a conta de serviço com os papéis Cloud KMS CryptoKey Encrypter/Decrypter e Cloud KMS Viewer. Certifique-se de estar na página de permissões da chave, não do key ring ou do projeto, para que a concessão tenha escopo limitado apenas a esta chave.
Conceda à conta de serviço da Anthropic ambos os papéis, com escopo limitado à chave.

Anote o nome completo do recurso da chave

Você passa isso para a Anthropic ao registrar a chave. O formato é:

projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>

Recupere-o com:

gcloud kms keys describe <your-key-name> \
  --project=<your-project-id> \
  --location=<region> \
  --keyring=<your-keyring-name> \
  --format="value(name)"

No Console, abra a página de detalhes da chave e clique em Copy resource name.

Registre a chave na Anthropic

Crie uma configuração de chave externa por meio da Admin API, usando o nome do recurso da etapa anterior.

curl -sS https://api.anthropic.com/v1/organizations/external_keys \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "display_name": "<friendly-name>",
    "geo": "us",
    "provider_config": {
      "type": "gcp",
      "key_name": "projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>"
    }
  }'

A resposta contém o ID da chave externa:

{
  "type": "external_key",
  "id": "ekey_<id>",
  "display_name": "<friendly-name>"
}

Valide a chave
Acione uma operação completa de criptografia e descriptografia na sua chave.
curl -sS -X POST https://api.anthropic.com/v1/organizations/external_keys/ekey_<id>/validate \ -H "x-api-key: <anthropic-admin-api-key>" \ -H "anthropic-version: 2023-06-01" \ -H "content-type: application/json" -d '{}'
Uma resposta bem-sucedida tem esta aparência:
{ "type": "external_key_validation", "status": "success", "error": null }
Se a validação falhar, as causas comuns são:
- VPC Service Controls: se um perímetro de serviço protege o Cloud KMS no seu projeto, adicione a Anthropic a um nível de acesso no perímetro (ou exclua o projeto da chave) para que a Anthropic possa acessar a chave.
- Compartilhamento restrito por domínio: a política da organização constraints/iam.allowedPolicyMemberDomains pode remover a vinculação da conta de serviço da Anthropic (veja a nota acima). Confirme que a vinculação está presente com gcloud kms keys get-iam-policy <your-key-name> --project=<your-project-id> --location=<region> --keyring=<your-keyring-name>.
- Versão da chave desabilitada ou destruída: confirme que a versão primária da chave está habilitada, e não desabilitada, agendada para destruição ou destruída.

Anexe a chave a um workspace

curl -sS -X POST https://api.anthropic.com/v1/organizations/workspaces/<workspace-id> \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "external_key_id": "ekey_<id>"
  }'