АдминистрированиеКлючи шифрования

Настройка Google Cloud KMS для CMEK

Используйте Google Cloud KMS, чтобы предоставить ключ шифрования для вашей организации.

Configure with the /claude-api skill in Claude Code

claude "/claude-api help me configure a customer-managed encryption key with Google Cloud KMS"

Это руководство описывает настройку ключа Google Cloud KMS в качестве ключа шифрования, управляемого клиентом (CMEK), для вашей организации Anthropic.

Включение CMEK необратимо. Если ваш ключ KMS будет удалён или отключён, Anthropic не сможет восстановить данные, зашифрованные с его помощью. Ознакомьтесь с предупреждениями и ограничениями, прежде чем начать.

Предварительные требования

Проект Google Cloud с включённым биллингом.
Включённый Cloud KMS API (cloudkms.googleapis.com).
Разрешения на создание связок ключей и ключей KMS, а также на настройку политики IAM для них (roles/cloudkms.admin или эквивалент).
Ключ Admin API Anthropic для вашей организации.
Установленный и аутентифицированный gcloud CLI.
Включённые журналы аудита доступа к данным Cloud KMS для проекта (IAM & Admin > Audit Logs > Cloud Key Management Service, с DATA_READ и DATA_WRITE). По умолчанию они отключены; без них операции шифрования и расшифровки Anthropic не создают записей в Cloud Logging.

Адрес электронной почты сервисного аккаунта Anthropic

Чтобы Anthropic могла использовать ваш ключ шифрования, вы должны предоставить сервисному аккаунту Anthropic ключ, который он сможет использовать для шифрования данных. Адрес электронной почты сервисного аккаунта для Anthropic CMEK:

anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com

Используйте только этот опубликованный адрес электронной почты сервисного аккаунта. Никогда не доверяйте идентификатору, полученному по электронной почте, в чате или через любой канал онбординга.

Ограничение общего доступа по домену: если ваш проект находится в организации Google Cloud, которая применяет ограничение constraints/iam.allowedPolicyMemberDomains, приведённые ниже привязки IAM будут отклонены, поскольку сервисный аккаунт Anthropic находится за пределами вашей организации. Вам потребуется либо исключение на уровне проекта для этого ограничения, либо добавление идентификатора клиента Cloud Identity компании Anthropic (формат C0xxxxxxxx) в список разрешённых. При необходимости обратитесь в Anthropic за идентификатором клиента.

Настройка ключа шифрования

Создайте или выберите связку ключей
Пропустите этот шаг, если у вас уже есть связка ключей для повторного использования. Связки ключей являются региональными. Выберите однорегиональное расположение в США, например us-east5, соответствующее географии Anthropic, которую вы настраиваете. Мультирегиональные расположения, такие как us и global, не поддерживаются.
gcloud kms keyrings create <your-keyring-name> \ --project=<your-project-id> \ --location=<region>
Создайте криптографический ключ
Создайте симметричный ключ с назначением ENCRYPT_DECRYPT. Настоятельно рекомендуется защита HSM: ключи Cloud KMS HSM сертифицированы по стандарту FIPS 140-2 Level 3, а разница в стоимости по сравнению с программными ключами невелика.
gcloud kms keys create <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --purpose=encryption \ --protection-level=hsm
Для программной защиты вместо этого опустите --protection-level=hsm. Больше ничего в этом руководстве не меняется.
Вы также можете создать ключ из Google Cloud Console. Откройте связку ключей, нажмите Create key, выберите Generated key, установите назначение и алгоритм на симметричное шифрование и расшифровку и выберите HSM в разделе уровня защиты.
Создайте симметричный ключ шифрования/расшифровки с защитой HSM.
Предоставьте сервисному аккаунту Anthropic доступ к ключу
Требуются две привязки IAM на уровне ключа. Обе ограничены одним криптографическим ключом, а не всем проектом или связкой ключей.
Шифрование и расшифровка, которые Anthropic использует для шифрования и расшифровки ключей данных, защищающих данные вашего рабочего пространства (конвертное шифрование):
gcloud kms keys add-iam-policy-binding <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --member="serviceAccount:anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com" \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Просмотр — для чтения метаданных (cryptoKeys.get), которое Anthropic выполняет при запуске для проверки назначения и алгоритма ключа:
gcloud kms keys add-iam-policy-binding <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --member="serviceAccount:anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com" \ --role=roles/cloudkms.viewer
В Console выберите ключ, откройте панель Permissions, нажмите Grant access и добавьте сервисный аккаунт с ролями Cloud KMS CryptoKey Encrypter/Decrypter и Cloud KMS Viewer. Убедитесь, что вы находитесь на странице разрешений ключа, а не связки ключей или проекта, чтобы предоставление доступа было ограничено только этим ключом.
Предоставьте сервисному аккаунту Anthropic обе роли, ограниченные ключом.
Запишите полное имя ресурса ключа
Вы передадите его в Anthropic при регистрации ключа. Формат следующий:
```
projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>
```
Получите его с помощью:
gcloud kms keys describe <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --format="value(name)"
В Console откройте страницу сведений о ключе и нажмите Copy resource name.
Скопируйте полное имя ресурса ключа из меню действий.

Зарегистрируйте ключ в Anthropic

Создайте конфигурацию внешнего ключа через Admin API, используя имя ресурса из предыдущего шага.

curl -sS https://api.anthropic.com/v1/organizations/external_keys \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "display_name": "<friendly-name>",
    "geo": "us",
    "provider_config": {
      "type": "gcp",
      "key_name": "projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>"
    }
  }'

Ответ содержит идентификатор внешнего ключа:

{
  "type": "external_key",
  "id": "ekey_<id>",
  "display_name": "<friendly-name>"
}

Проверьте ключ
Запустите цикл шифрования и расшифровки с использованием вашего ключа.
curl -sS -X POST https://api.anthropic.com/v1/organizations/external_keys/ekey_<id>/validate \ -H "x-api-key: <anthropic-admin-api-key>" \ -H "anthropic-version: 2023-06-01" \ -H "content-type: application/json" -d '{}'
Успешный ответ выглядит так:
{ "type": "external_key_validation", "status": "success", "error": null }
Если проверка не проходит, распространённые причины следующие:
- VPC Service Controls: если периметр сервиса защищает Cloud KMS в вашем проекте, добавьте Anthropic в уровень доступа на периметре (или исключите проект ключа), чтобы Anthropic могла получить доступ к ключу.
- Ограничение общего доступа по домену: политика организации constraints/iam.allowedPolicyMemberDomains может удалить привязку сервисного аккаунта Anthropic (см. примечание выше). Убедитесь, что привязка присутствует, с помощью gcloud kms keys get-iam-policy <your-key-name> --project=<your-project-id> --location=<region> --keyring=<your-keyring-name>.
- Отключённая или уничтоженная версия ключа: убедитесь, что основная версия ключа включена, а не отключена, запланирована к уничтожению или уничтожена.

Привяжите ключ к рабочему пространству

curl -sS -X POST https://api.anthropic.com/v1/organizations/workspaces/<workspace-id> \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "external_key_id": "ekey_<id>"
  }'

Terraform

Для развёртываний по принципу «инфраструктура как код» те же шаги соответствуют провайдеру google с ресурсами google_kms_key_ring, google_kms_crypto_key и google_kms_crypto_key_iam_member.

Was this page helpful?

Предварительные требования

Проект Google Cloud с включённым биллингом.

Включённый Cloud KMS API (cloudkms.googleapis.com).

Разрешения на создание связок ключей и ключей KMS, а также на настройку политики IAM для них (roles/cloudkms.admin или эквивалент).

Ключ Admin API Anthropic для вашей организации.

Установленный и аутентифицированный gcloud CLI.

Включённые журналы аудита доступа к данным Cloud KMS для проекта (IAM & Admin > Audit Logs > Cloud Key Management Service, с DATA_READ и DATA_WRITE). По умолчанию они отключены; без них операции шифрования и расшифровки Anthropic не создают записей в Cloud Logging.

Адрес электронной почты сервисного аккаунта Anthropic

anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com

Настройка ключа шифрования

Создайте или выберите связку ключей
Пропустите этот шаг, если у вас уже есть связка ключей для повторного использования. Связки ключей являются региональными. Выберите однорегиональное расположение в США, например us-east5, соответствующее географии Anthropic, которую вы настраиваете. Мультирегиональные расположения, такие как us и global, не поддерживаются.
gcloud kms keyrings create <your-keyring-name> \ --project=<your-project-id> \ --location=<region>
Создайте криптографический ключ
Создайте симметричный ключ с назначением ENCRYPT_DECRYPT. Настоятельно рекомендуется защита HSM: ключи Cloud KMS HSM сертифицированы по стандарту FIPS 140-2 Level 3, а разница в стоимости по сравнению с программными ключами невелика.
gcloud kms keys create <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --purpose=encryption \ --protection-level=hsm
Для программной защиты вместо этого опустите --protection-level=hsm. Больше ничего в этом руководстве не меняется.
Вы также можете создать ключ из Google Cloud Console. Откройте связку ключей, нажмите Create key, выберите Generated key, установите назначение и алгоритм на симметричное шифрование и расшифровку и выберите HSM в разделе уровня защиты.
Создайте симметричный ключ шифрования/расшифровки с защитой HSM.
Предоставьте сервисному аккаунту Anthropic доступ к ключу
Требуются две привязки IAM на уровне ключа. Обе ограничены одним криптографическим ключом, а не всем проектом или связкой ключей.
Шифрование и расшифровка, которые Anthropic использует для шифрования и расшифровки ключей данных, защищающих данные вашего рабочего пространства (конвертное шифрование):
gcloud kms keys add-iam-policy-binding <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --member="serviceAccount:anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com" \ --role=roles/cloudkms.cryptoKeyEncrypterDecrypter
Просмотр — для чтения метаданных (cryptoKeys.get), которое Anthropic выполняет при запуске для проверки назначения и алгоритма ключа:
gcloud kms keys add-iam-policy-binding <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --member="serviceAccount:anthropic-cmek-client-us@gcp-anthropic-cmek-clients.iam.gserviceaccount.com" \ --role=roles/cloudkms.viewer
В Console выберите ключ, откройте панель Permissions, нажмите Grant access и добавьте сервисный аккаунт с ролями Cloud KMS CryptoKey Encrypter/Decrypter и Cloud KMS Viewer. Убедитесь, что вы находитесь на странице разрешений ключа, а не связки ключей или проекта, чтобы предоставление доступа было ограничено только этим ключом.
Предоставьте сервисному аккаунту Anthropic обе роли, ограниченные ключом.
Запишите полное имя ресурса ключа
Вы передадите его в Anthropic при регистрации ключа. Формат следующий:
```
projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>
```
Получите его с помощью:
gcloud kms keys describe <your-key-name> \ --project=<your-project-id> \ --location=<region> \ --keyring=<your-keyring-name> \ --format="value(name)"
В Console откройте страницу сведений о ключе и нажмите Copy resource name.
Скопируйте полное имя ресурса ключа из меню действий.

Зарегистрируйте ключ в Anthropic

Создайте конфигурацию внешнего ключа через Admin API, используя имя ресурса из предыдущего шага.

curl -sS https://api.anthropic.com/v1/organizations/external_keys \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "display_name": "<friendly-name>",
    "geo": "us",
    "provider_config": {
      "type": "gcp",
      "key_name": "projects/<your-project-id>/locations/<region>/keyRings/<your-keyring-name>/cryptoKeys/<your-key-name>"
    }
  }'

Ответ содержит идентификатор внешнего ключа:

{
  "type": "external_key",
  "id": "ekey_<id>",
  "display_name": "<friendly-name>"
}

Проверьте ключ
Запустите цикл шифрования и расшифровки с использованием вашего ключа.
curl -sS -X POST https://api.anthropic.com/v1/organizations/external_keys/ekey_<id>/validate \ -H "x-api-key: <anthropic-admin-api-key>" \ -H "anthropic-version: 2023-06-01" \ -H "content-type: application/json" -d '{}'
Успешный ответ выглядит так:
{ "type": "external_key_validation", "status": "success", "error": null }
Если проверка не проходит, распространённые причины следующие:
- VPC Service Controls: если периметр сервиса защищает Cloud KMS в вашем проекте, добавьте Anthropic в уровень доступа на периметре (или исключите проект ключа), чтобы Anthropic могла получить доступ к ключу.
- Ограничение общего доступа по домену: политика организации constraints/iam.allowedPolicyMemberDomains может удалить привязку сервисного аккаунта Anthropic (см. примечание выше). Убедитесь, что привязка присутствует, с помощью gcloud kms keys get-iam-policy <your-key-name> --project=<your-project-id> --location=<region> --keyring=<your-keyring-name>.
- Отключённая или уничтоженная версия ключа: убедитесь, что основная версия ключа включена, а не отключена, запланирована к уничтожению или уничтожена.

Привяжите ключ к рабочему пространству

curl -sS -X POST https://api.anthropic.com/v1/organizations/workspaces/<workspace-id> \
  -H "x-api-key: <anthropic-admin-api-key>" \
  -H "anthropic-version: 2023-06-01" \
  -H "content-type: application/json" \
  -d '{
    "external_key_id": "ekey_<id>"
  }'

Terraform

Was this page helpful?