АдминистрированиеКлючи шифрования

Ключи шифрования, управляемые клиентом

Шифруйте данные рабочего пространства Claude в состоянии покоя с помощью ключа, который вы контролируете.

Learn more with the /claude-api skill in Claude Code

claude "/claude-api tell me about customer-managed encryption keys"

«Customer-managed encryption key» (ключ шифрования, управляемый клиентом), или CMEK, позволяет вам создать ключ шифрования в вашем собственном AWS KMS, Google Cloud KMS или Azure Key Vault и предоставить Anthropic возможность использовать его для шифрования определённых данных рабочего пространства в состоянии покоя. Вы сохраняете полный контроль над ключом, включая ротацию, аудит и отзыв, а операции с ключом, которые Anthropic выполняет с вашим ключом, записываются в журналы аудита вашего облачного провайдера.

Организации могут включить использование ключей шифрования, управляемых клиентом, вместо шифрования по умолчанию, которое предоставляет Anthropic.

Как это работает

CMEK привязывается к каждому рабочему пространству отдельно. Настраивать его могут только администраторы. CMEK защищает данные, записанные после включения ключа. Существующие данные (предыдущие чаты, файлы и сессии) остаются зашифрованными ключами, управляемыми Anthropic, и не перешифровываются вашим ключом.

События административной настройки CMEK отображаются в ленте активности Compliance API. Операции с ключом, которые Anthropic выполняет с вашим ключом (такие как упаковка и распаковка ключей данных), не отображаются в Compliance API; они отображаются в журналах аудита вашего облачного провайдера.

Предварительные требования

Доступ уровня Cloud Admin в учётной записи, проекте или подписке, где будет размещён ключ шифрования.
Роль Organization Admin в Anthropic Console (или Owner / Primary Owner).

Доступность и регионы

В настоящее время CMEK доступен только в регионах США, и все операции шифрования обрабатываются в регионах США. Мультирегиональные ключи и размещение ключей в ЕС пока не поддерживаются.

В Claude Platform на AWS CMEK доступен только с ключами AWS KMS; ключи Google Cloud KMS и Azure Key Vault зарегистрировать нельзя. Создавайте, проверяйте и привязывайте ключи в Claude Console; конечные точки API external_keys в настоящее время недоступны в Claude Platform на AWS. Ключ должен находиться в том же регионе AWS, что и рабочее пространство, к которому он привязан.

В настоящее время CMEK не поддерживается для организаций с включённым HIPAA. Поддержка совместного использования CMEK и HIPAA запланирована. Если в вашей организации включён HIPAA, свяжитесь с вашим представителем Anthropic перед настройкой CMEK.

Для минимальной задержки выберите регион, близкий к инфраструктуре Anthropic в США:

Провайдер	Рекомендуемые регионы
AWS	`us-east-2`
Google Cloud	`us-central1`, `us-east5`
Azure	`northcentralus`, `eastus2`

Что защищает CMEK

Шифруется

Содержимое сообщений, включая встроенные файловые вложения, отправленные с запросом, а также конфигурация MCP и инструментов.
Резервные копии и снимки наследуют ключ.

Отключено или изменено

Некоторые функции отключаются или существенно изменяются при включении CMEK:

Память управляемых агентов и «agent dreaming» отключены.
Бета-функции и функции исследовательского предварительного просмотра могут не покрываться CMEK.

Не шифруется

Эти функции остаются доступными, но их данные не шифруются вашим ключом. Вы можете отключить любую функцию, которая не подходит для вашего сценария использования, в настройках.

Workbench в Console.
Данные, которые не находятся в состоянии покоя (например, кэш), и данные с TTL менее 24 часов.
Лента активности, журналы аудита и сетевой трафик телеметрии, такой как OTEL, чтобы клиенты могли поддерживать соответствие требованиям даже при отзыве ключа.

Поддержка функций

Следующие API, ресурсы управляемых агентов и инструменты хранят данные в состоянии покоя под вашим ключом при включённом CMEK:

API	Управляемые агенты	Инструменты и функции
Messages	Agents	Веб-поиск
Models	Environments	Веб-загрузка
Files	Sessions	Выполнение кода
Batch	Vaults	Инструмент Bash
Skills		Инструмент текстового редактора
User profiles		Коннектор MCP
		Структурированные выводы (только Claude Sonnet 4.6 и Claude Haiku 4.5)
		Инструмент Advisor
		Использование компьютера
		Управление контекстом

Ограничения

Необратимое действие: после привязки ключа к рабочему пространству его нельзя отвязать или заменить. Ротация ключевого материала в рамках того же ключа (например, автоматическая ротация AWS KMS, расписание ротации Cloud KMS или политика ротации Azure Key Vault) поддерживается прозрачно и не требует изменений на стороне Anthropic. Переход на другой ключ требует создания нового рабочего пространства с новым ключом и миграции ваших данных. Отзыв или отключение ключа делает все данные, защищённые CMEK в этом рабочем пространстве, безвозвратно недоступными без возможности отката.
Отсутствие ретроактивного шифрования: CMEK защищает только данные, записанные после включения ключа.
Задержка: операции упаковки и распаковки ключей данных выполняют обращение к вашему сервису управления ключами, что может добавить небольшую задержку к действиям, которые читают или записывают данные в состоянии покоя.
Задержка отзыва: отзыв ключа может занять до одного часа (TTL кэша). Запросы, уже находящиеся в процессе выполнения в течение этого окна, могут продолжать выполняться успешно.

Настройка вашего провайдера

Следуйте руководству для используемого вами сервиса управления ключами.

AWS KMS

Создайте ключ AWS KMS с политикой ключа для межаккаунтного доступа, затем зарегистрируйте и проверьте его.

Google Cloud KMS

Создайте криптографический ключ Cloud KMS, предоставьте доступ сервисному аккаунту Anthropic, затем зарегистрируйте его.

Azure Key Vault

Создайте ключ RSA, предоставьте доступ сервисному принципалу Anthropic, затем зарегистрируйте и проверьте его.

Was this page helpful?

АдминистрированиеКлючи шифрования

Ключи шифрования, управляемые клиентом

Шифруйте данные рабочего пространства Claude в состоянии покоя с помощью ключа, который вы контролируете.

Learn more with the /claude-api skill in Claude Code

claude "/claude-api tell me about customer-managed encryption keys"

Как это работает

Предварительные требования

Доступ уровня Cloud Admin в учётной записи, проекте или подписке, где будет размещён ключ шифрования.
Роль Organization Admin в Anthropic Console (или Owner / Primary Owner).

Доступность и регионы

Для минимальной задержки выберите регион, близкий к инфраструктуре Anthropic в США:

Провайдер	Рекомендуемые регионы
AWS	`us-east-2`
Google Cloud	`us-central1`, `us-east5`
Azure	`northcentralus`, `eastus2`

Что защищает CMEK

Шифруется

Содержимое сообщений, включая встроенные файловые вложения, отправленные с запросом, а также конфигурация MCP и инструментов.
Резервные копии и снимки наследуют ключ.

Отключено или изменено

Некоторые функции отключаются или существенно изменяются при включении CMEK:

Память управляемых агентов и «agent dreaming» отключены.
Бета-функции и функции исследовательского предварительного просмотра могут не покрываться CMEK.

Не шифруется

Workbench в Console.
Данные, которые не находятся в состоянии покоя (например, кэш), и данные с TTL менее 24 часов.
Лента активности, журналы аудита и сетевой трафик телеметрии, такой как OTEL, чтобы клиенты могли поддерживать соответствие требованиям даже при отзыве ключа.

Поддержка функций

API	Управляемые агенты	Инструменты и функции
Messages	Agents	Веб-поиск
Models	Environments	Веб-загрузка
Files	Sessions	Выполнение кода
Batch	Vaults	Инструмент Bash
Skills		Инструмент текстового редактора
User profiles		Коннектор MCP
		Структурированные выводы (только Claude Sonnet 4.6 и Claude Haiku 4.5)
		Инструмент Advisor
		Использование компьютера
		Управление контекстом

Ограничения

Необратимое действие: после привязки ключа к рабочему пространству его нельзя отвязать или заменить. Ротация ключевого материала в рамках того же ключа (например, автоматическая ротация AWS KMS, расписание ротации Cloud KMS или политика ротации Azure Key Vault) поддерживается прозрачно и не требует изменений на стороне Anthropic. Переход на другой ключ требует создания нового рабочего пространства с новым ключом и миграции ваших данных. Отзыв или отключение ключа делает все данные, защищённые CMEK в этом рабочем пространстве, безвозвратно недоступными без возможности отката.
Отсутствие ретроактивного шифрования: CMEK защищает только данные, записанные после включения ключа.
Задержка: операции упаковки и распаковки ключей данных выполняют обращение к вашему сервису управления ключами, что может добавить небольшую задержку к действиям, которые читают или записывают данные в состоянии покоя.
Задержка отзыва: отзыв ключа может занять до одного часа (TTL кэша). Запросы, уже находящиеся в процессе выполнения в течение этого окна, могут продолжать выполняться успешно.

Настройка вашего провайдера

Следуйте руководству для используемого вами сервиса управления ключами.

AWS KMS

Создайте ключ AWS KMS с политикой ключа для межаккаунтного доступа, затем зарегистрируйте и проверьте его.

Google Cloud KMS

Azure Key Vault

Создайте ключ RSA, предоставьте доступ сервисному принципалу Anthropic, затем зарегистрируйте и проверьте его.

Was this page helpful?

Включение CMEK необратимо и может привести к безвозвратной потере данных

Как это работает

Предварительные требования

Доступность и регионы

Что защищает CMEK

Шифруется

Отключено или изменено

Не шифруется

Поддержка функций

Ограничения

Настройка вашего провайдера

Включение CMEK необратимо и может привести к безвозвратной потере данных

Как это работает

Предварительные требования

Доступность и регионы

Что защищает CMEK

Шифруется

Отключено или изменено

Не шифруется

Поддержка функций

Ограничения

Настройка вашего провайдера