Referência de ações do IAM para controlar o acesso ao Claude Platform on AWS por meio de políticas da AWS.
O Claude Platform on AWS usa o AWS IAM para controle de acesso. Cada rota da API é mapeada para uma ação do IAM no namespace aws-external-anthropic. Esta página lista todas as ações, as rotas que cada ação autoriza e as políticas gerenciadas disponíveis para padrões de acesso comuns. Para configuração da plataforma e autenticação, consulte Claude Platform on AWS.
A região do ARN é sempre preenchida e corresponde à região à qual o workspace está vinculado. O segmento de recurso é o ID de workspace com tag (wrkspc_...), o mesmo valor que você passa no cabeçalho anthropic-workspace-id.
Ações
O serviço define 65 ações. As ações seguem a convenção VerbNoun da AWS e usam disciplina de verbos para que os curingas Get* e List* produzam um limite limpo de somente leitura.
Inferência
Ação
Rotas autorizadas
CreateInference
POST /v1/messages
CountTokens
POST /v1/messages/count_tokens
Processamento em lote
Ação
Rotas autorizadas
CreateBatchInference
POST /v1/messages/batches
GetBatchInference
GET /v1/messages/batches/{id} GET /v1/messages/batches/{id}/results
ListBatchInferences
GET /v1/messages/batches
CancelBatchInference
POST /v1/messages/batches/{id}/cancel
DeleteBatchInference
DELETE /v1/messages/batches/{id}
GetBatchInference autoriza tanto a leitura de metadados do lote quanto o download dos resultados do lote. Os curingas Get* das políticas AnthropicReadOnlyAccess, AnthropicInferenceAccess e AnthropicLimitedAccess incluem esta ação.
Modelos
Ação
Rotas autorizadas
GetModel
GET /v1/models/{id}
ListModels
GET /v1/models
Arquivos
Ação
Rotas autorizadas
CreateFile
POST /v1/files
GetFile
GET /v1/files/{id} GET /v1/files/{id}/content
ListFiles
GET /v1/files
DeleteFile
DELETE /v1/files/{id}
GetFile autoriza tanto metadados quanto download de conteúdo. Um principal com acesso somente leitura pode baixar bytes de arquivo, não apenas listar arquivos.
Skills
Ação
Rotas autorizadas
CreateSkill
POST /v1/skills
GetSkill
GET /v1/skills/{id} GET /v1/skills/{id}/versions GET /v1/skills/{id}/versions/{version} GET /v1/skills/{id}/versions/{version}/content
ListSkills
GET /v1/skills
UpdateSkill
POST /v1/skills/{id}/versions DELETE /v1/skills/{id}/versions/{version}
DeleteSkill
GetSkill autoriza tanto metadados de skill quanto download de conteúdo de skill. Um principal com acesso somente leitura pode baixar bytes de skill, não apenas listar skills.
Criar ou excluir uma versão individual de skill é mapeado para UpdateSkill, não para CreateSkill ou DeleteSkill. Uma política que nega aws-external-anthropic:Delete* ainda permite a exclusão de versões, e uma política que nega aws-external-anthropic:Create* ainda permite a criação de versões. Negue também UpdateSkill e CreateSkill se você precisar impedir qualquer mutação de skill.
Agentes
Ação
Rotas autorizadas
CreateAgent
POST /v1/agents
GetAgent
GET /v1/agents/{id} GET /v1/agents/{id}/versions
ListAgents
GET /v1/agents
UpdateAgent
POST /v1/agents/{id}
ArchiveAgent
POST /v1/agents/{id}/archive
Agentes suportam apenas arquivamento, não exclusão definitiva. Uma política que nega aws-external-anthropic:Delete* não bloqueia ArchiveAgent. Negue ArchiveAgent, UpdateAgent e CreateAgent se você precisar impedir qualquer mutação de agente.
Sessões
Ação
Rotas autorizadas
CreateSession
POST /v1/sessions
GetSession
GET /v1/sessions/{id} GET /v1/sessions/{id}/events GET /v1/sessions/{id}/events/stream GET /v1/sessions/{id}/resources GET /v1/sessions/{id}/resources/{id}
ListSessions
GET /v1/sessions
UpdateSession
POST /v1/sessions/{id} POST /v1/sessions/{id}/events POST /v1/sessions/{id}/resources
GetSession autoriza a leitura de metadados da sessão, do fluxo completo de eventos (histórico de conversa) e dos recursos da sessão. Os curingas Get* das políticas AnthropicReadOnlyAccess, AnthropicInferenceAccess e AnthropicLimitedAccess incluem esta ação.
Criar, atualizar ou excluir um sub-recurso individual de sessão (eventos ou recursos de sessão) é mapeado para UpdateSession, não para CreateSession ou DeleteSession. Uma política que nega aws-external-anthropic:Delete* ainda permite a exclusão de sub-recursos, e uma política que nega aws-external-anthropic:Create* ainda permite a criação de sub-recursos. Negue também UpdateSession, CreateSession e ArchiveSession se você precisar impedir qualquer mutação de sessão.
Ambientes
Ação
Rotas autorizadas
CreateEnvironment
POST /v1/environments
GetEnvironment
GET /v1/environments/{id} GET /v1/environments/{id}/work GET /v1/environments/{id}/work/{work_id} GET /v1/environments/{id}/work/stats
ListEnvironments
GET /v1/environments
UpdateEnvironment
POST /v1/environments/{id}
ArchiveEnvironment
Uma política que nega aws-external-anthropic:Delete* não bloqueia ArchiveEnvironment. ProcessEnvironmentWork não é correspondido pelos curingas Create*, Update*, Delete* ou Archive*. Negue também ArchiveEnvironment, UpdateEnvironment, CreateEnvironment e ProcessEnvironmentWork se você precisar impedir qualquer mutação de ambiente.
ProcessEnvironmentWork autoriza um worker de sandbox auto-hospedado a fazer polling, confirmar (ack), enviar heartbeat, parar e publicar resultados em itens de trabalho de ambiente. Conceda-a apenas a principals que executam workers de ambiente auto-hospedados. A política gerenciada AnthropicSelfHostedEnvironmentAccess inclui esta ação.
Vaults
Ação
Rotas autorizadas
CreateVault
POST /v1/vaults
GetVault
GET /v1/vaults/{id} GET /v1/vaults/{id}/credentials GET /v1/vaults/{id}/credentials/{id}
ListVaults
GET /v1/vaults
UpdateVault
POST /v1/vaults/{id} POST /v1/vaults/{id}/credentials POST /v1/vaults/{id}/credentials/{id} POST /v1/vaults/{id}/credentials/{id}/archive
Criar, atualizar, arquivar ou excluir uma credencial individual de vault é mapeado para UpdateVault. Ler uma credencial é mapeado para GetVault. Segredos de credenciais de vault não são expostos: campos de segredo são somente escrita e nunca são retornados por GetVault (consulte Autenticar com vaults). Uma política que nega aws-external-anthropic:Delete* ainda permite a exclusão de credenciais, e uma política que nega aws-external-anthropic:Create* ainda permite a criação de credenciais. Negue também UpdateVault, CreateVault e ArchiveVault se você precisar impedir qualquer mutação de vault.
Memory stores
Ação
Rotas autorizadas
CreateMemoryStore
POST /v1/memory_stores
GetMemoryStore
GET /v1/memory_stores/{id} GET /v1/memory_stores/{id}/memories GET /v1/memory_stores/{id}/memories/{id} GET /v1/memory_stores/{id}/memory_versions GET /v1/memory_stores/{id}/memory_versions/{id}
ListMemoryStores
GET /v1/memory_stores
UpdateMemoryStore
POST /v1/memory_stores/{id} POST /v1/memory_stores/{id}/memories
GetMemoryStore autoriza a leitura de metadados do store, todas as memórias e o histórico de versões de memória. Os curingas Get* das políticas AnthropicReadOnlyAccess, AnthropicInferenceAccess e AnthropicLimitedAccess incluem esta ação.
Criar, atualizar ou excluir uma memória individual e redigir uma versão de memória são ambos mapeados para UpdateMemoryStore, não para CreateMemoryStore ou DeleteMemoryStore. Uma política que nega aws-external-anthropic:Delete* ainda permite a exclusão de memórias individuais e a redação de versões de memória, e uma política que nega aws-external-anthropic:Create* ainda permite a criação de memórias individuais. Negue também UpdateMemoryStore, CreateMemoryStore e ArchiveMemoryStore se você precisar impedir qualquer mutação de memory store.
Webhooks
Ação
Rotas autorizadas
CreateWebhook
POST /v1/webhooks
GetWebhook
GET /v1/webhooks/{id}
ListWebhooks
GET /v1/webhooks
UpdateWebhook
POST /v1/webhooks/{id}
DeleteWebhook
DELETE /v1/webhooks/{id}
RotateWebhookSecret
POST /v1/webhooks/{id}/regenerate_signing_secret
Segredos de assinatura de webhook são somente escrita. GetWebhook retorna apenas metadados do webhook; não retorna o segredo de assinatura.
RotateWebhookSecret não é correspondido pelos curingas aws-external-anthropic:Create*, Update* ou Delete*. Uma política que nega esses padrões ainda permite a rotação de segredos. Negue RotateWebhookSecret, UpdateWebhook, CreateWebhook e DeleteWebhook se você precisar impedir qualquer mutação de webhook.
Perfis de usuário
Ação
Rotas autorizadas
CreateUserProfile
POST /v1/user_profiles
GetUserProfile
GET /v1/user_profiles/{id}
ListUserProfiles
GET /v1/user_profiles
UpdateUserProfile
POST /v1/user_profiles/{id}
A correspondência de ações do IAM não diferencia maiúsculas de minúsculas. O curinga aws-external-anthropic:*File corresponde a CreateFile, GetFile e DeleteFile, mas não corresponde a ListFiles (que termina em "files", não "file"). Ele também corresponde indevidamente a CreateUserProfile, GetUserProfile e UpdateUserProfile porque "Profile" termina em "file". Se você pretende conceder ou negar apenas ações da API de Arquivos, enumere-as explicitamente (CreateFile, GetFile, ListFiles, DeleteFile) em vez de usar um padrão de sufixo *File.
Workspaces
Ação
Rotas autorizadas
CreateWorkspace
POST /v1/organizations/workspaces
GetWorkspace
GET /v1/organizations/workspaces/{id}
ListWorkspaces
GET /v1/organizations/workspaces
UpdateWorkspace
POST /v1/organizations/workspaces/{id}
ArchiveWorkspace
POST /v1/organizations/workspaces/{id}/archive
Workspaces suportam apenas arquivamento, não exclusão definitiva. Uma política que nega aws-external-anthropic:Delete* não bloqueia ArchiveWorkspace. Negue ArchiveWorkspace, UpdateWorkspace e CreateWorkspace se você precisar impedir qualquer mutação de workspace.
Autenticação
Ação
Rotas autorizadas
CallWithBearerToken
(nenhuma)
CallWithBearerToken é uma permissão da camada de autenticação que autoriza um principal a se autenticar por meio de uma chave de API (bearer token) em vez de AWS SigV4. Ela não é mapeada para uma rota. Conceda-a junto com as ações mapeadas para rotas que você deseja que o portador da chave de API execute.
Acesso ao console
Ação
Rotas autorizadas
AssumeConsole
(nenhuma)
AssumeConsole autoriza um principal a abrir o Claude Console para um workspace do Claude Platform on AWS por meio do fluxo de federação do AWS Console. Ela não é mapeada para uma rota. Conceda-a a principals que devem poder clicar em Open Claude Console na página de serviço do Claude Platform on AWS no AWS Console. A função do Claude Console (Admin ou Developer) é atribuída separadamente pelo seu representante de conta da Anthropic; ela não é derivada das permissões do IAM do principal. Consulte Usando o Claude Console para o fluxo de login e descrições de funções.
Mapeamento de rota para ação
A tabela a seguir lista todas as rotas no Claude Platform on AWS e a ação do IAM necessária para chamá-las. Cada ação do IAM também autoriza requisições que usam o cabeçalho anthropic-beta; variantes beta de uma rota não exigem uma ação do IAM separada. O CloudTrail classifica cada ação como um evento de Dados (operações de plano de dados de alto volume) ou um evento de Gerenciamento (operações de plano de controle). Ações de vault e webhook são classificadas como eventos de Gerenciamento porque contêm segredos (credenciais de vault e segredos de assinatura de webhook) e se beneficiam do registro de auditoria ativado por padrão. Ações de workspace também são classificadas como eventos de Gerenciamento porque são operações de plano de controle com escopo de organização. Todas as outras ações, incluindo inferência, lote, modelo, arquivo, skill, perfil de usuário e as demais ações do Claude Managed Agents, são classificadas como eventos de Dados.
Método
Rota
Ação do IAM
Tipo de evento do CloudTrail
POST
/v1/messages
CreateInference
Dados
POST
/v1/messages/count_tokens
CountTokens
Dados
POST
/v1/messages/batches
CreateBatchInference
Dados
GET
Rotas que não estão nesta tabela não estão disponíveis no Claude Platform on AWS. O gateway nega por padrão qualquer rota não listada aqui.
As rotas de workspace são as únicas rotas da Admin API disponíveis no Claude Platform on AWS. A página Workspaces do Claude Console é somente leitura; use a Admin API ou o AWS Console para criar, atualizar ou arquivar workspaces.
Políticas gerenciadas
A AWS fornece cinco políticas gerenciadas para o Claude Platform on AWS. Todas as políticas gerenciadas se aplicam a Resource: "*".
AnthropicInferenceAccess é a política gerenciada mais restrita suficiente para executar inferência. Ela cobre tanto inferência síncrona quanto em lote e, por meio dos curingas Get* e List*, concede acesso de leitura a todos os recursos da API no namespace, incluindo recursos do Claude Managed Agents (CMA) (agentes, sessões, ambientes, vaults, memory stores e webhooks). Isso inclui download de conteúdo de arquivo por meio de GetFile (consulte a nota em Arquivos), download de conteúdo de skill por meio de GetSkill (consulte a nota em Skills) e conteúdo de memória por meio de GetMemoryStore. Segredos de credenciais de vault e segredos de assinatura de webhook não são expostos: esses campos são somente escrita e nunca são retornados por GetVault ou GetWebhook (consulte Autenticar com vaults). AnthropicInferenceAccess não concede criação ou exclusão de arquivos, gerenciamento de skills, gerenciamento de perfis de usuário, mutação de workspace ou qualquer ação de escrita do Claude Managed Agents (criar, atualizar, arquivar, excluir, processar ou rotacionar). Para excluir leituras de CMA, substitua AnthropicInferenceAccess por uma política personalizada que enumere apenas as ações específicas não-CMA de que você precisa.
AnthropicReadOnlyAccess, AnthropicInferenceAccess e AnthropicLimitedAccess carregam todas os curingas Get* e List*, que concedem acesso de leitura a todo o conteúdo no workspace: bytes de arquivo, conteúdo de skill, resultados de lote, histórico de conversa de sessão e conteúdo de memória. Segredos de credenciais de vault e segredos de assinatura de webhook não são expostos; esses campos são somente escrita e nunca são retornados por GetVault ou GetWebhook. Se seu principal não deve ler conteúdo existente, use uma política personalizada que enumere apenas as ações de que você precisa.
AnthropicLimitedAccess inclui todas as ações do Claude Managed Agents além das ações de inferência.
AnthropicSelfHostedEnvironmentAccess é a política gerenciada mais restrita suficiente para executar um worker de sandbox auto-hospedado. Anexe-a ao principal com o qual seu worker de ambiente se autentica.
AssumeConsole não está incluída em AnthropicReadOnlyAccess, AnthropicInferenceAccess, AnthropicLimitedAccess ou AnthropicSelfHostedEnvironmentAccess. Principals que precisam de acesso ao Claude Console requerem AnthropicFullAccess ou uma política personalizada que conceda aws-external-anthropic:AssumeConsole. Consulte Acesso ao console.
CreateInference e CreateBatchInference são ações separadas. Negar uma não bloqueia a outra. Se você pretende impedir todas as chamadas de modelo, negue ambas.
Exemplos de políticas
Inferência síncrona em um único workspace
Concede as permissões mínimas para um principal do IAM que executa inferência em um workspace de produção:
ListWorkspaces tem escopo de conta (consulte Automação de provisionamento). Se sua conta de serviço precisar enumerar workspaces, adicione uma declaração Allow separada para ListWorkspaces com Resource: "*".
Esta política pressupõe autenticação AWS SigV4. Se o principal se autenticar com uma chave de API, adicione uma declaração Allow separada para aws-external-anthropic:CallWithBearerToken com Resource: "*". CallWithBearerToken é uma ação sem rota que não se vincula a um ARN de workspace. Consulte Isolamento de workspace por cliente para o padrão de duas declarações.
O curinga aws-external-anthropic:* na primeira declaração inclui ações com escopo de conta (CreateWorkspace, ListWorkspaces) que a restrição de ARN de workspace filtra silenciosamente. Isso é consistente com a intenção de "isolamento" (a função não pode criar ou enumerar workspaces), mas a política contém permissões que não têm efeito. Consulte Automação de provisionamento para o padrão com escopo de conta.
CallWithBearerToken e AssumeConsole são ações sem rota que não se vinculam a um ARN de workspace. A segunda declaração as concede em Resource: "*" para que a função possa se autenticar com uma chave de API e abrir o Claude Console. Omita esta declaração se a função usar apenas SigV4 e não precisar de acesso ao Claude Console.
Bloqueio de recursos para um workspace sensível a ZDR
Bloqueia processamento em lote e upload de arquivos em um workspace específico, mantendo a inferência síncrona disponível. Útil quando um workspace lida com dados de Zero Data Retention (ZDR) que não devem persistir no lado do servidor. Anexe esta política junto com uma política Allow, como AnthropicInferenceAccess ou o exemplo de workspace único; por si só, uma política somente Deny não concede permissões:
Esta negação bloqueia apenas a criação. Outras ações de arquivo e lote não são negadas a menos que você as liste também. Para um bloqueio completo em que o workspace nunca deve conter arquivos ou lotes, negue também aws-external-anthropic:GetFile, aws-external-anthropic:ListFiles, aws-external-anthropic:DeleteFile, aws-external-anthropic:GetBatchInference, aws-external-anthropic:ListBatchInferences, aws-external-anthropic:CancelBatchInference e aws-external-anthropic:DeleteBatchInference.
Automação de provisionamento
A página Workspaces do Claude Console é somente leitura; use os endpoints de workspace da Admin API ou o AWS Console para criar, atualizar ou arquivar workspaces.
Concede a uma função de CI/CD as ações necessárias para criar e gerenciar workspaces, sem nenhuma permissão de inferência:
GET /v1/environments/{id}/work/poll POST /v1/environments/{id}/work/{work_id} POST /v1/environments/{id}/work/{work_id}/ack POST /v1/environments/{id}/work/{work_id}/heartbeat POST /v1/environments/{id}/work/{work_id}/stop
DELETE /v1/vaults/{id}/credentials/{id}
ArchiveVault
POST /v1/vaults/{id}/archive
DeleteVault
DELETE /v1/vaults/{id}
POST /v1/memory_stores/{id}/memories/{id}
DELETE /v1/memory_stores/{id}/memories/{id}
POST /v1/memory_stores/{id}/memory_versions/{id}/redact
Todas as ações de AnthropicInferenceAccess, mais todas as ações do Claude Managed Agents (agentes, sessões, ambientes, vaults, memory stores, webhooks e trabalho de ambiente auto-hospedado)