Claude Platform на AWS

Claude Platform на AWS предоставляет вам полный опыт работы с платформой Anthropic, включая Messages API, Agent Skills, выполнение кода и бета-функции, доступные через вашу учётную запись AWS. В отличие от Amazon Bedrock, где AWS управляет стеком инференса, Claude Platform на AWS управляется компанией Anthropic. AWS предоставляет уровень аутентификации (SigV4 или ключ API), управление доступом на основе IAM и интеграцию биллинга через AWS Marketplace.

Как работает интеграция платформы

Модели Claude работают на инфраструктуре, управляемой Anthropic. Это коммерческая интеграция для биллинга и доступа через AWS. Anthropic является обработчиком данных для входных и выходных данных инференса; AWS обрабатывает метаданные биллинга и идентификации в рамках модели маркетплейса. На клиентов, использующих Claude через Claude Platform на AWS, распространяются условия использования данных Anthropic. Anthropic продолжает обеспечивать свои лидирующие в отрасли обязательства по безопасности и защите данных.

Обратите внимание на следующие операционные характеристики: данные могут не находиться в AWS; инференс может направляться в основное облако Anthropic; подсервисы могут меняться «под капотом» без уведомления. Устанавливайте параметр inference_geo для каждого запроса, чтобы закрепить инференс за определённой географией.

Claude Platform на AWS следует той же политике хранения данных, что и собственный Claude API. Режим «Zero Data Retention» (ZDR) доступен по запросу. Свяжитесь с вашим представителем Anthropic, чтобы включить его для вашей организации.

Claude Platform на AWS и Amazon Bedrock

Оба предложения позволяют использовать Claude через AWS, но они существенно различаются по архитектуре, поверхности API и доступности функций.

Если вам нужен Claude под управлением AWS, см. Claude в Amazon Bedrock. Claude Platform на AWS использует отдельный пул мощностей, отличный как от собственного Claude API, так и от Amazon Bedrock. Вы можете запускать рабочие нагрузки на нескольких платформах и переключаться между ними при сбоях.

AWS PrivateLink поддерживается для подключения вашего VPC к конечной точке Claude Platform на AWS.

Когда выбирать Bedrock: Организациям в регулируемых отраслях, которым требуется соответствие FedRAMP High, IL4, IL5 или готовность к HIPAA, либо которым необходимо, чтобы AWS был единственным обработчиком данных, следует использовать Claude в Amazon Bedrock. Bedrock работает полностью на инфраструктуре, контролируемой AWS, где AWS является управляющей стороной.

Настройка учётной записи

Настройка Claude Platform на AWS происходит в четыре этапа: регистрация на странице сервиса в AWS Console, завершение настройки организации Anthropic, получение идентификатора рабочего пространства и вход в Claude Console.

Устранение неполадок при настройке учётной записи

• «Sign-up failed: Failed to enable OutboundWebIdentityFederation»: Если вы видите этот баннер при первой отправке, выберите Continue ещё раз. Включение IAM может занять некоторое время, прежде чем вступит в силу.
• Нет индикатора прогресса во время регистрации: Регистрация занимает несколько минут. На странице отображается статический баннер Sign-up in progress без индикатора выполнения, пока AWS подготавливает вашу учётную запись.
• «Signed in as a different account» после перехода по ссылке настройки: Выберите Log out and continue. Страница повторно аутентифицирует вас с введённым вами адресом электронной почты.
• Сообщение «Not found» во время входа: Это сообщение может ненадолго появиться во время перенаправления. Вы можете его закрыть.
• Страница использования не показывает данных после первого вызова API: Данные об использовании могут появиться в Claude Console через несколько минут.

Перед выполнением вызовов API

Убедитесь, что у вас есть:

1. Активная учётная запись AWS с подпиской на Claude Platform на AWS (см. Настройка учётной записи)
2. Установленный и настроенный AWS CLI
3. Включённая исходящая федерация веб-идентификации в вашей учётной записи AWS (однократный шаг настройки; см. Включение исходящей федерации веб-идентификации)
4. Идентификатор вашего рабочего пространства (см. Получение идентификатора рабочего пространства)

Включение исходящей федерации веб-идентификации

Шлюз Claude Platform на AWS вызывает sts:GetWebIdentityToken на стороне сервера, чтобы создать JWT, который он пересылает в Anthropic. Эта возможность STS отключена по умолчанию в каждой учётной записи AWS. Включите её один раз для каждой учётной записи:

aws iam enable-outbound-web-identity-federation

Если ответ — [ERROR] (FeatureEnabled) ... already enabled, настройка уже включена для вашей учётной записи, и вы можете продолжить. Проверьте и получите URL издателя вашей учётной записи:

aws iam get-outbound-web-identity-federation-info

Получение идентификатора рабочего пространства

Вы создаёте рабочее пространство из AWS Console после завершения настройки учётной записи (см. Настройка учётной записи). Рабочие пространства привязаны к одному региону AWS. Вы можете найти идентификатор рабочего пространства в Claude Console в разделе Workspaces или в разделе Workspaces на странице сервиса в AWS Console.

Установите переменные окружения ANTHROPIC_AWS_WORKSPACE_ID и AWS_REGION, чтобы SDK-клиенты считывали их автоматически:

export ANTHROPIC_AWS_WORKSPACE_ID='wrkspc_01AbCdEf23GhIj'
export AWS_REGION='us-west-2'  # Your workspace's AWS region

Регион обязателен. SDK-клиент выдаёт ошибку, если регион не установлен. Передайте aws_region/awsRegion в конструктор или установите AWS_REGION (или AWS_DEFAULT_REGION). Поддерживаются все коммерческие регионы AWS.

Аутентификация

Claude Platform на AWS поддерживает два метода аутентификации: AWS IAM с подписью запросов SigV4 (основной) и аутентификацию по ключу API. Оба используют один и тот же базовый URL и формат запроса.

Аутентификация SigV4

SigV4 — это нативный для корпоративной среды путь, который интегрируется с вашими существующими политиками, ролями и аудитом AWS IAM. Настройте учётные данные AWS любым методом, поддерживаемым цепочкой поставщиков учётных данных AWS по умолчанию:

• Переменные окружения (AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, AWS_SESSION_TOKEN)
• Общий файл учётных данных (~/.aws/credentials)
• Общий файл конфигурации (~/.aws/config), включая SSO и credential_process
• Веб-идентификация (AWS_WEB_IDENTITY_TOKEN_FILE и AWS_ROLE_ARN) для IRSA и GitHub Actions
• Учётные данные контейнера ECS
• Служба метаданных экземпляра EC2 (IMDS)

Проверьте, что ваши учётные данные работают:

aws sts get-caller-identity

Аутентификация по ключу API

Для более простых путей интеграции (локальная разработка и скрипты) вы можете аутентифицироваться с помощью ключа API вместо SigV4. Установите переменную окружения ANTHROPIC_AWS_API_KEY или передайте apiKey в конструктор SDK.

Генерируйте ключи API в AWS Console в разделе Claude Platform on AWS → API keys. Выберите Generate a key, затем скопируйте значение ключа. Предоставьте действие IAM aws-external-anthropic:CallWithBearerToken принципалам, которым должно быть разрешено использовать аутентификацию по ключу API.

Краткосрочные ключи API

Для рабочих нагрузок, которым необходимо передать учётные данные отдельному процессу (например, LLM-шлюзу, бессерверной функции или инструменту, поддерживающему аутентификацию по bearer-токену, но не SigV4), сгенерируйте краткосрочный ключ API из ваших учётных данных AWS вместо создания долгосрочного ключа в AWS Console.

AWS публикует библиотеки генераторов токенов для JavaScript, Python и Java. Каждая библиотека считывает ваши учётные данные AWS через стандартную цепочку поставщиков и возвращает ограниченный по времени токен, который работает с заголовком x-api-key. Срок действия токена по умолчанию составляет 12 часов и ограничен наименьшим из: запрошенной вами длительности, срока действия ваших учётных данных AWS и 12 часов. См. README в указанных репозиториях для установки и полных параметров конфигурации.

Передайте сгенерированный токен в SDK так же, как вы передали бы ключ API, сгенерированный в AWS Console:

from token_generator_for_aws_external_anthropic import TokenGenerator
from anthropic import AnthropicAWS

token = TokenGenerator(region="us-west-2").get_token()

client = AnthropicAWS(api_key=token, aws_region="us-west-2")

Если вы можете сгенерировать токен локально, ваш процесс уже имеет учётные данные SigV4, и аутентификация SigV4 обычно является более простым выбором. Используйте краткосрочные ключи, когда процесс, выполняющий вызовы API, отделён от процесса, который хранит учётные данные AWS.

SDK не обновляет краткосрочные ключи автоматически. Когда срок действия токена истекает, сгенерируйте новый и создайте новый клиент. Принципалу, использующему токен, по-прежнему требуется действие IAM aws-external-anthropic:CallWithBearerToken.

Приоритет учётных данных

Клиент, специфичный для платформы, разрешает аутентификацию в следующем порядке. Имена аргументов различаются в зависимости от соглашений языка (TypeScript и PHP используют camelCase, как показано; Python и Ruby используют snake_case; Go использует PascalCase с заглавными аббревиатурами; C# и Java используют идиомы свойств или билдеров соответствующего языка).

1. Аргумент конструктора apiKey → заголовок x-api-key
2. Аргументы конструктора awsAccessKey + awsSecretAccessKey → AWS SigV4
3. Аргумент конструктора awsProfile → AWS SigV4 с именованным профилем
4. Переменная окружения ANTHROPIC_AWS_API_KEY → заголовок x-api-key
5. Цепочка поставщиков учётных данных AWS по умолчанию → AWS SigV4

Разрешение региона

Клиент считывает AWS_REGION из окружения, если aws_region/awsRegion не передан в конструктор, с откатом на AWS_DEFAULT_REGION для совместимости со стандартными AWS SDK. Регион обязателен; значения по умолчанию нет. В отличие от AnthropicBedrock, который откатывается на us-east-1, клиент AnthropicAWS/AnthropicAws выдаёт ошибку, если не установлен ни аргумент конструктора, ни переменная окружения.

Установка SDK

Клиентские SDK от Anthropic поддерживают Claude Platform на AWS. Каждый SDK предоставляет класс клиента, специфичный для платформы, который обрабатывает подпись SigV4, построение базового URL на основе региона и заголовок anthropic-workspace-id.

Доступные модели

Следующие модели доступны на Claude Platform на AWS:

Идентификаторы моделей идентичны собственному Claude API. Нет ARN в стиле Bedrock или префиксов anthropic..

Новые модели запускаются на Claude Platform на AWS одновременно с собственным Claude API.

Выполнение запросов

Claude Platform на AWS использует те же конечные точки API, что и собственный Claude API. Различия заключаются в базовом URL, методе аутентификации и обязательном заголовке anthropic-workspace-id, который идентифицирует, на какое рабочее пространство нацелен запрос.

from anthropic import AnthropicAWS

client = AnthropicAWS()

message = client.messages.create(
    model="claude-sonnet-4-6",
    max_tokens=1024,
    messages=[{"role": "user", "content": "Hello!"}],
)
print(message)

Клиент считывает AWS_REGION (или AWS_DEFAULT_REGION) и ANTHROPIC_AWS_WORKSPACE_ID из окружения. Вы можете переопределить любой из них, передав aws_region / awsRegion или workspace_id / workspaceId в конструктор. И регион, и идентификатор рабочего пространства обязательны. Конструктор выдаёт ошибку, если идентификатор рабочего пространства не может быть разрешён; отсутствующий регион также вызывает ошибку.

Значение --aws-sigv4 следует формату aws:amz:<region>:<service>. Имя сервиса SigV4 — aws-external-anthropic, а регион должен совпадать с регионом в URL вашей конечной точки. Несоответствие в любом из них приводит к общей ошибке отклонения подписи, а не к конкретной диагностике.

Контекстное окно

Размеры контекстного окна на Claude Platform на AWS идентичны собственному Claude API. См. Контекстные окна для ограничений по моделям.

Поддержка функций

Claude Platform на AWS использует конечные точки Claude API напрямую, что означает полный паритет функций с собственным Claude API (за исключением случаев, указанных в ограничениях функций):

• Доступ к функциям: Поскольку Anthropic управляет обеими платформами, большинство новых функций и бета-заголовков становятся доступными на Claude Platform на AWS без отдельного шага интеграции. См. ограничения функций для исключений.
• Бета-функции: Передавайте стандартный заголовок anthropic-beta для доступа к бета-функциям, так же как и с Claude API.
• Agent Skills: Используйте готовые и пользовательские Agent Skills с тем же параметром container.skills и бета-заголовками, что и в Claude API. Все готовые навыки (PowerPoint, Excel, Word, PDF) работают из коробки.
• Выполнение кода: Запускайте код в управляемой песочнице Anthropic с помощью инструмента выполнения кода.
• Использование инструментов: Computer use и все другие возможности использования инструментов доступны.
• Расширенное мышление: Включайте расширенное мышление с теми же параметрами, что и в Claude API.
• Потоковая передача: Полная поддержка потоковой передачи SSE для ответов в реальном времени.
• Пакетная обработка: Отправляйте пакетные запросы для высокопроизводительных рабочих нагрузок.
• Кэширование подсказок: Кэшируйте инструменты, системные подсказки и историю сообщений для снижения задержки и стоимости. Доступны все возможности кэширования подсказок (TTL 5 минут, TTL 1 час и автоматическое кэширование).
• Files API: Загружайте файлы и ссылайтесь на них в разных запросах.
• Ключи шифрования, управляемые клиентом (CMEK): CMEK доступен только с ключами AWS KMS; ключи Google Cloud KMS и Azure Key Vault не могут быть зарегистрированы. Создавайте, проверяйте и прикрепляйте ключи в Claude Console; конечные точки Admin API external_keys в настоящее время недоступны. Ключ должен находиться в том же регионе AWS, что и рабочее пространство, к которому он прикреплён.
• Compliance API: Compliance API доступен. Доступ авторизуется через AWS IAM.

См. сравнительную таблицу для различий в доступности функций по сравнению с Amazon Bedrock.

Claude Managed Agents

Claude Managed Agents доступен на Claude Platform на AWS, включая агентов, окружения, сессии, хранилища учётных данных, хранилища памяти, вебхуки, мультиагентную оркестрацию и самостоятельно размещаемые песочницы.

Поведение сессий на Claude Platform на AWS отличается от собственного Claude Managed Agents в одном аспекте:

• Повторная аутентификация автономной сессии: Сессия может работать автономно, без каких-либо пользовательских событий, до 6 часов. После 6 часов сессия требует повторной аутентификации перед продолжением. Для повторной аутентификации отправьте любое событие с ролью пользователя в сессию (см. События и потоковая передача). Собственный Claude Managed Agents не имеет ограничения времени выполнения автономной сессии.

Неподдерживаемые функции

Следующие возможности в настоящее время недоступны на Claude Platform на AWS:

• Готовность к HIPAA: Программа готовности к HIPAA от Anthropic недоступна. См. API и хранение данных.

• Admin API: Конечные точки рабочих пространств (создание, получение, список, обновление и архивирование на /v1/organizations/workspaces) доступны. Другие конечные точки Admin API (участники организации, участники рабочих пространств, приглашения, ключи API, отчёты об использовании, отчёты о затратах, отчёты об ограничениях скорости и внешние ключи) в настоящее время недоступны. Управляйте ключами CMEK в Claude Console. Просматривайте данные об использовании и затратах в Claude Console. Членством в организации управляет AWS IAM.
• Управление участниками рабочего пространства: Добавление или удаление пользователей из отдельных рабочих пространств недоступно. Доступ контролируется политиками AWS IAM на ARN рабочих пространств.
• Лимиты расходов: Недоступны. Вместо этого используйте средства контроля биллинга AWS.
• Рабочее пространство Claude Code и Analytics API: Рабочее пространство Claude Code с автоматическими ограничениями скорости недоступно. Использование Claude Code отображается в общем представлении использования, а не на отдельном экране.
• Аутентификация OAuth: Не поддерживается. Используйте аутентификацию SigV4 или по ключу API.
• Быстрый режим: Недоступен на Claude Platform на AWS.
• OpenAI-совместимые конечные точки API: Недоступны на Claude Platform на AWS.
• Конечная точка списка работ для самостоятельно размещаемой песочницы: Конечная точка GET /v1/environments/{id}/work, которая выводит список ожидающих работ для самостоятельно размещаемой песочницы, в настоящее время недоступна. Другие конечные точки работ (poll, ack, heartbeat, stop, post results, получение по элементу и статистика) работают нормально.
• Туннели MCP: Поддерживаются только серверы MCP, доступные через публичный интернет.

Резидентность данных

Claude Platform на AWS поддерживает следующие географии инференса:

• US: Инференс остаётся в дата-центрах США. Применяется ценовой множитель 1,1x.
• Global: Инференс может направляться в любой дата-центр, управляемый Anthropic, по всему миру. Применяется стандартная цена.

Устанавливайте географию инференса для каждого запроса с помощью параметра inference_geo:

from anthropic import AnthropicAWS

client = AnthropicAWS()
message = client.messages.create(
    model="claude-sonnet-4-6",
    max_tokens=1024,
    inference_geo="us",
    messages=[{"role": "user", "content": "Hello!"}],
)
print(message)

Если вы опустите inference_geo, запрос использует default_inference_geo рабочего пространства, если он настроен, в противном случае — global.

Элементы управления географией инференса на уровне рабочего пространства (allowed_inference_geos и default_inference_geo) также доступны на Claude Platform на AWS. См. Ограничения на уровне рабочего пространства.

Рабочие пространства

Запросы инференса и ресурсов на Claude Platform на AWS нацелены на рабочее пространство. Вы передаёте идентификатор рабочего пространства в заголовке anthropic-workspace-id при этих вызовах API. Идентификаторы рабочих пространств используют формат с тегом wrkspc_, за которым следует буквенно-цифровой идентификатор (например, wrkspc_01AbCdEf23GhIj). См. Получение идентификатора рабочего пространства, если у вас его ещё нет.

Область действия рабочего пространства

Рабочие пространства привязаны к одному региону AWS. Рабочее пространство, созданное в us-west-2, может быть доступно только через конечную точку us-west-2. Использование, квоты, затраты, файлы, пакеты и навыки — всё это агрегируется по рабочему пространству, что даёт вам разбивку по регионам в Claude Console.

Рабочие пространства также служат основным ресурсом IAM для Claude Platform на AWS. Вы предоставляете или запрещаете доступ к конкретным рабочим пространствам через политики AWS IAM, используя ARN рабочего пространства. Сегмент ресурса ARN — это тот же идентификатор с префиксом wrkspc_, который вы передаёте в заголовке anthropic-workspace-id:

arn:aws:aws-external-anthropic:{region}:{account-id}:workspace/{workspace-id}

Например:

arn:aws:aws-external-anthropic:us-west-2:123456789012:workspace/wrkspc_01AbCdEf23GhIj

См. Политики IAM для примеров политик.

Управление рабочими пространствами

Создавайте дополнительные рабочие пространства, переименовывайте рабочее пространство или архивируйте рабочее пространство на странице Workspaces в AWS Console или с помощью конечных точек рабочих пространств Admin API. Новое рабочее пространство привязывается к региону AWS конечной точки, которую вы вызываете для его создания (см. Область действия рабочего пространства). Страница Workspaces в Claude Console доступна только для чтения.

Использование Claude Console

Claude Platform на AWS использует стандартную Claude Console по адресу platform.claude.com. Когда вы входите из AWS Console, индикатор Account managed by AWS отображается в левом нижнем углу боковой панели Claude Console, и консоль ограничивается вашей организацией Claude Platform на AWS. Она предоставляет аналитику использования, разбивку затрат, видимость ограничений скорости, видимость рабочих пространств и страницы для управления файлами, Agent Skills, пакетными заданиями и ресурсами Claude Managed Agents (агенты, сессии, окружения, хранилища учётных данных, хранилища памяти и вебхуки).

Вход в систему

Доступ к Claude Console федерируется через AWS IAM. См. Настройка учётной записи для полного процесса первого входа. Вкратце:

1. Примите роль IAM с разрешением aws-external-anthropic:AssumeConsole. См. Действия IAM для Claude Platform на AWS.
2. Перейдите на страницу Claude Platform on AWS в AWS Console.
3. Выберите Open Claude Console. AWS Console выпускает JWT и перенаправляет вас на platform.claude.com.
4. При первом входе вам будет предложено ввести адрес электронной почты; введите ваш рабочий адрес электронной почты. Платформа создаёт вашего пользователя Claude Console по требованию.

Доступны две роли Claude Console: Admin и Developer. Роль Admin предоставляет доступ ко всем страницам и настройкам Claude Console, доступным для Claude Platform на AWS. Роль Developer предоставляет доступ на чтение к информации об использовании, затратах, ограничениях скорости и рабочих пространствах. Свяжитесь с вашим представителем Anthropic, чтобы назначить роль Admin или Developer принципалу.

Доступные страницы

Столбец Through AWS gateway (Через шлюз AWS) указывает, выполняет ли страница чтение и запись данных через шлюз AWS (и, следовательно, регулируется ли она действиями IAM). Страницы с пометкой No (Нет) считывают метаданные уровня организации напрямую из Anthropic и обходят проверки действий IAM.

Переключение организаций

Claude Console не поддерживает переключение организаций для Claude Platform on AWS. Чтобы получить доступ к другой организации, выйдите из системы и повторно аутентифицируйтесь через AWS Console, используя роль IAM для учётной записи AWS этой организации.

Ограничения скорости и квоты

Claude Platform on AWS назначает ограничения скорости уровня Tier 1 при регистрации. Anthropic управляет ограничениями скорости напрямую, а не через системы квот AWS.

В отличие от собственного Claude API, автоматическое повышение уровня не применяется. Если вам нужны более высокие лимиты, обратитесь к вашему представителю Anthropic. Подробности об уровнях и лимитах для каждой модели см. в разделе Ограничения скорости.

Выставление счетов

Claude Platform on AWS выставляет счета через AWS Marketplace. Использование измеряется в единицах «Claude Consumption Unit» (единица потребления Claude), или CCU, учитывается ежечасно и выставляется ежемесячно по факту в вашем счёте AWS. CCU не являются предоплаченными кредитами; баланса CCU или обязательств по ним не существует.

Цену CCU, механику конвертации, применение скидок и тарифы на токены для каждой модели см. в разделе Цены на Claude Platform on AWS.

Мониторинг и логирование

AWS CloudTrail может фиксировать все запросы к Claude Platform on AWS. Операции с рабочими пространствами, хранилищами и вебхуками по умолчанию логируются как события управления (Management events). Операции вывода, пакетной обработки, файлов, навыков, моделей, профилей пользователей и Claude Managed Agents (кроме хранилищ и вебхуков) классифицируются как события данных (Data events) и требуют явной настройки логирования событий данных, что влечёт дополнительные расходы на CloudTrail. Полную классификацию типов событий см. в справочнике по действиям IAM, а подробности настройки — в документации AWS CloudTrail.

Идентификаторы запросов

Каждый ответ содержит два идентификатора запроса в заголовках ответа:

• Идентификатор запроса AWS (x-amzn-requestid): основной идентификатор, индексируемый в CloudTrail. Используйте его при исследовании запросов через инструменты AWS или при обращении в поддержку AWS.
• Идентификатор запроса Anthropic (request-id): вторичный идентификатор. Используйте его при обращении в поддержку Anthropic.

from anthropic import AnthropicAWS

client = AnthropicAWS()

response = client.messages.with_raw_response.create(
    model="claude-sonnet-4-6",
    max_tokens=1024,
    messages=[{"role": "user", "content": "Hello!"}],
)

print(response.headers.get("x-amzn-requestid"))  # AWS request ID
print(response.headers.get("request-id"))  # Anthropic request ID

message = response.parse()
print(message.content)

Anthropic рекомендует логировать вашу активность как минимум на скользящей основе за 30 дней, чтобы понимать закономерности использования и расследовать возможные проблемы.

Миграция с Amazon Bedrock

Если вы в настоящее время используете Claude на Bedrock, миграция на Claude Platform on AWS требует изменений во всей вашей интеграции. Подписывание SigV4 по-прежнему поддерживается, но контекст подписывания, базовый URL, формат API, идентификаторы моделей, клиент и пакет SDK, формат потоковой передачи, заголовки запросов и доступность регионов — всё это меняется. В следующей таблице приведена сводка различий.

Что меняется

Объём изменений при миграции зависит от того, с какой интеграции Bedrock вы переходите. В следующей таблице показаны как текущая интеграция Bedrock (Messages API по адресу bedrock-mantle.{region}.api.aws), так и устаревшая интеграция InvokeModel.

Если вы используете текущую интеграцию Bedrock, формат тела запроса уже соответствует Messages API; изменения касаются базового URL, имени сервиса SigV4, идентификаторов моделей и добавления заголовка anthropic-workspace-id. Если вы используете устаревший InvokeModel или Converse API, вам также потребуется переписать форматы запросов и ответов в формат Messages API. Сопоставление форматов запросов см. в разделе Claude на Amazon Bedrock (устаревшая версия).

Что вы получаете

• Как правило, доступ к новым моделям и функциям в день их выпуска (см. ограничения функций)
• Agent Skills для генерации документов (PowerPoint, Excel, Word, PDF)
• Выполнение кода в управляемой песочнице Anthropic
• Бета-функции через заголовок anthropic-beta (см. ограничения функций)
• Claude Console для просмотра квот и аналитики использования
• Прямая поддержка Anthropic
• Аутентификация по ключу API как альтернатива SigV4 (см. Аутентификация по ключу API)

Что остаётся без изменений

• Аутентификация AWS IAM (SigV4)
• AWS как сторона, выставляющая счета (канал выставления счетов меняется с нативного сервиса AWS на AWS Marketplace; см. Коммерческие аспекты)
• Погашение обязательств AWS

Подводные камни миграции

Коммерческие аспекты

• Условия обслуживания Anthropic: использование Claude Platform on AWS требует принятия Коммерческих условий обслуживания и Политики использования Anthropic. Если ваша организация ещё не приняла их (например, если вы использовали Claude только через Bedrock), вам будет предложено сделать это при настройке учётной записи. См. Настройка учётной записи.
• Скидки и частные предложения: согласованные скидки и частные предложения AWS Marketplace не переносятся автоматически между Bedrock и Claude Platform on AWS. Обратитесь к вашему представителю Anthropic, чтобы настроить коммерческие условия для Claude Platform on AWS.

Политики IAM

Claude Platform on AWS интегрируется с AWS IAM для управления доступом. Вы предоставляете или запрещаете доступ к определённым действиям API в определённых рабочих пространствах, используя стандартный синтаксис политик IAM.

Имя сервиса SigV4 и пространство имён действий IAM — aws-external-anthropic. Действия следуют шаблону aws-external-anthropic:<Action> (например, aws-external-anthropic:CreateInference).

Пример: запрет пакетного вывода

Следующая политика разрешает вывод в реальном времени, блокируя при этом пакетную обработку:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "aws-external-anthropic:CreateInference",
        "aws-external-anthropic:CountTokens",
        "aws-external-anthropic:GetModel",
        "aws-external-anthropic:ListModels",
        "aws-external-anthropic:GetWorkspace"
      ],
      "Resource": "arn:aws:aws-external-anthropic:*:*:workspace/*"
    },
    {
      "Effect": "Allow",
      "Action": "aws-external-anthropic:ListWorkspaces",
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "aws-external-anthropic:CreateBatchInference",
        "aws-external-anthropic:GetBatchInference",
        "aws-external-anthropic:ListBatchInferences"
      ],
      "Resource": "*"
    }
  ]
}

Действие GetBatchInference авторизует как маршрут метаданных пакета, так и маршрут результатов пакета. Его запрет блокирует оба вида чтения. Политику только с Deny, подходящую для рабочих нагрузок, чувствительных к ZDR, см. в разделе Блокировка функций для рабочего пространства, чувствительного к ZDR.

Управляемые политики

AWS предоставляет пять управляемых политик (AnthropicFullAccess, AnthropicReadOnlyAccess, AnthropicInferenceAccess, AnthropicLimitedAccess и AnthropicSelfHostedEnvironmentAccess) для распространённых шаблонов доступа. Действия, предоставляемые каждой политикой, полный список действий IAM, сопоставление маршрутов с действиями и дополнительные примеры политик см. в разделе Действия IAM для Claude Platform on AWS.

Дополнительные ресурсы

• Claude Console для Claude Platform on AWS: platform.claude.com (доступ через AWS Console)
• Подробности о ценах: Цены
• Bedrock (Claude под управлением AWS): Claude в Amazon Bedrock
• AWS Marketplace: aws.amazon.com/marketplace