Аутентификация

Claude API поддерживает два способа аутентификации запросов:

Оба метода предоставляют одинаковый доступ к конечным точкам Claude API. Выбирайте ключи API, чтобы быстро начать работу, и переходите на Workload Identity Federation, когда у вашей рабочей нагрузки уже есть выданное платформой удостоверение, которое можно федерировать.

Ключи API

Ключи API — это статические секреты, которые вы генерируете в Claude Console и передаёте с каждым запросом.

• Создание ключа: перейдите в раздел Settings → API keys в Claude Console. Используйте рабочие пространства, чтобы ограничить область действия ключей по проекту или окружению.
• Отправка ключа: установите заголовок x-api-key в прямых HTTP-запросах или задайте переменную окружения ANTHROPIC_API_KEY, и клиентские SDK подхватят её автоматически.

POST /v1/messages
x-api-key: YOUR_API_KEY
anthropic-version: 2023-06-01
content-type: application/json

Ключи API не имеют срока действия. Храните их в менеджере секретов, периодически ротируйте и отзывайте любой ключ, который, по вашему подозрению, мог быть скомпрометирован.

client = Anthropic(api_key="my-anthropic-api-key")
# или, если ANTHROPIC_API_KEY задан в окружении:
client = Anthropic()

Workload Identity Federation

«Workload Identity Federation» (федерация удостоверений рабочих нагрузок), или WIF, позволяет рабочей нагрузке аутентифицироваться с помощью короткоживущего токена идентификации, выданного поставщиком удостоверений (IdP), которому вы уже доверяете, — например, AWS IAM, Google Cloud или любым совместимым со стандартом OIDC издателем (таким как GitHub Actions, сервисные аккаунты Kubernetes, SPIFFE, Microsoft Entra ID или Okta). Рабочая нагрузка обменивает выданный IdP JWT через POST /v1/oauth/token на короткоживущий токен доступа Claude API, а SDK автоматически обновляет этот токен до истечения его срока действия. Нет никакой строки sk-ant-api..., которую нужно было бы выпускать, распространять или ротировать.

Федерация устраняет долгоживущие ключи Claude API из вашего окружения, что сокращает радиус поражения при утечке учётных данных и позволяет управлять доступом с помощью тех же механизмов IdP, которые вы уже используете для облачных ресурсов. Сама по себе она не гарантирует сквозную безопасность: цепочка доверия надёжна лишь настолько, насколько надёжна конфигурация вашего поставщика удостоверений, и долгоживущий секрет на один шаг выше по цепочке (например, статические облачные учётные данные, позволяющие выпускать токены IdP) всё равно может её подорвать. Сочетайте федерацию с механизмами контроля вашего поставщика, такими как списки разрешённых IP-адресов, MFA и журналирование аудита.

Чтобы настроить федерацию, вы создаёте три ресурса в Claude Console (сервисный аккаунт, издателя федерации и правило федерации), а затем указываете SDK на это правило. Полное пошаговое руководство по настройке см. в разделе Workload Identity Federation.

Дальнейшие шаги