AWS 上的 Claude 平台

AWS 上的 Claude 平台为您提供完整的 Anthropic 平台体验，包括 Messages API、Agent Skills、代码执行和测试版功能，均可通过您的 AWS 账户访问。与 Amazon Bedrock（由 AWS 运营推理堆栈）不同，AWS 上的 Claude 平台由 Anthropic 运营。AWS 提供身份验证层（SigV4 或 API 密钥）、基于 IAM 的访问控制，以及通过 AWS Marketplace 的计费集成。

平台集成的工作原理

Claude 模型在 Anthropic 管理的基础设施上运行。这是一种通过 AWS 进行计费和访问的商业集成。Anthropic 是推理输入和输出的数据处理方；AWS 在市场模式下处理计费和身份元数据。通过 AWS 上的 Claude 平台使用 Claude 的客户须遵守 Anthropic 的数据使用条款。Anthropic 将继续提供其行业领先的安全和数据承诺。

请注意以下运营特性：数据可能不驻留在 AWS 中；推理可能路由到 Anthropic 的主云；底层子服务可能在不另行通知的情况下发生变更。请在每个请求中设置 inference_geo 参数，以将推理固定到特定地理位置。

AWS 上的 Claude 平台遵循与第一方 Claude API 相同的数据保留策略。可按需提供零数据保留（ZDR）。请联系您的 Anthropic 客户代表为您的组织启用此功能。

AWS 上的 Claude 平台与 Amazon Bedrock 对比

这两种产品都允许您通过 AWS 使用 Claude，但它们在架构、API 接口和功能可用性方面存在显著差异。

如果您需要由 AWS 运营的 Claude，请参阅 Amazon Bedrock 中的 Claude。AWS 上的 Claude 平台使用独立于第一方 Claude API 和 Amazon Bedrock 的容量池。您可以在多个平台上运行工作负载并在它们之间进行故障转移。

支持使用 AWS PrivateLink 将您的 VPC 连接到 AWS 上的 Claude 平台端点。

**何时选择 Bedrock：**受监管行业中需要 FedRAMP High、IL4、IL5 或 HIPAA 就绪合规性的组织，或需要 AWS 作为唯一数据处理方的组织，应使用 Amazon Bedrock 中的 Claude。Bedrock 完全在 AWS 控制的基础设施上运行，由 AWS 作为运营方。

设置您的账户

设置 AWS 上的 Claude 平台分为四个阶段：在 AWS 控制台服务页面上注册、完成 Anthropic 组织设置、记录您的工作区 ID，以及登录 Claude Console。

账户设置故障排除

• **"Sign-up failed: Failed to enable OutboundWebIdentityFederation"（注册失败：无法启用 OutboundWebIdentityFederation）：**如果您在首次提交时看到此横幅，请再次选择 Continue（继续）。IAM 启用可能需要一些时间才能生效。
• **注册期间没有进度指示器：**注册需要几分钟时间。在 AWS 配置您的账户期间，页面会显示静态的 Sign-up in progress（注册进行中）横幅，没有进度条。
• **点击设置链接后显示"Signed in as a different account"（已以其他账户登录）：**选择 Log out and continue（退出并继续）。页面会使用您输入的电子邮件地址重新对您进行身份验证。
• **登录期间显示"Not found"（未找到）消息：**此消息可能在重定向期间短暂出现。您可以忽略它。
• **首次 API 调用后使用情况页面未显示数据：**使用情况数据可能需要几分钟才能在 Claude Console 中显示。

进行 API 调用之前

请确保您具备以下条件：

1. 已订阅 AWS 上的 Claude 平台的有效 AWS 账户（参见设置您的账户）
2. 已安装并配置 AWS CLI
3. 已在您的 AWS 账户上启用出站 Web 身份联合（一次性设置步骤；参见启用出站 Web 身份联合）
4. 您的工作区 ID（参见获取您的工作区 ID）

启用出站 Web 身份联合

AWS 上的 Claude 平台网关在服务器端调用 sts:GetWebIdentityToken 来生成转发给 Anthropic 的 JWT。此 STS 功能在每个 AWS 账户上默认禁用。请为每个账户启用一次：

aws iam enable-outbound-web-identity-federation

如果响应为 [ERROR] (FeatureEnabled) ... already enabled，则该设置已在您的账户上启用，您可以继续下一步。验证并获取您账户的颁发者 URL：

aws iam get-outbound-web-identity-federation-info

获取您的工作区 ID

完成账户设置后，您可以从 AWS 控制台创建工作区（参见设置您的账户）。工作区绑定到单个 AWS 区域。您可以在 Claude Console 的 Workspaces（工作区）下或 AWS 控制台服务页面的 Workspaces（工作区）部分中找到工作区 ID。

设置 ANTHROPIC_AWS_WORKSPACE_ID 和 AWS_REGION 环境变量，以便 SDK 客户端自动读取它们：

export ANTHROPIC_AWS_WORKSPACE_ID='wrkspc_01AbCdEf23GhIj'
export AWS_REGION='us-west-2'  # Your workspace's AWS region

区域是必需的。如果未设置区域，SDK 客户端会引发错误。请将 aws_region/awsRegion 传递给构造函数，或设置 AWS_REGION（或 AWS_DEFAULT_REGION）。支持所有 AWS 商业区域。

身份验证

AWS 上的 Claude 平台支持两种身份验证方法：带 SigV4 请求签名的 AWS IAM（主要方式）和 API 密钥身份验证。两者使用相同的基础 URL 和请求格式。

SigV4 身份验证

SigV4 是企业原生路径，可与您现有的 AWS IAM 策略、角色和审计集成。使用 AWS 默认凭证提供程序链支持的任何方法配置 AWS 凭证：

• 环境变量（AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY、AWS_SESSION_TOKEN）
• 共享凭证文件（~/.aws/credentials）
• 共享配置文件（~/.aws/config），包括 SSO 和 credential_process
• Web 身份（AWS_WEB_IDENTITY_TOKEN_FILE 和 AWS_ROLE_ARN），用于 IRSA 和 GitHub Actions
• ECS 容器凭证
• EC2 实例元数据服务（IMDS）

验证您的凭证是否正常工作：

aws sts get-caller-identity

API 密钥身份验证

对于更简单的集成路径（本地开发和脚本），您可以使用 API 密钥而非 SigV4 进行身份验证。设置 ANTHROPIC_AWS_API_KEY 环境变量或将 apiKey 传递给 SDK 构造函数。

在 AWS 控制台的 Claude Platform on AWS → API keys（API 密钥）下生成 API 密钥。选择 Generate a key（生成密钥），然后复制密钥值。向应被允许使用 API 密钥身份验证的主体授予 aws-external-anthropic:CallWithBearerToken IAM 操作。

短期 API 密钥

对于需要将凭证传递给单独进程的工作负载（例如 LLM 网关、无服务器函数，或支持不记名令牌身份验证但不支持 SigV4 的工具），请从您的 AWS 凭证生成短期 API 密钥，而不是在 AWS 控制台中配置长期密钥。

AWS 发布了适用于 JavaScript、Python 和 Java 的令牌生成器库。每个库都通过标准提供程序链读取您的 AWS 凭证，并返回一个可与 x-api-key 标头配合使用的限时令牌。令牌有效期默认为 12 小时，上限为您请求的持续时间、您的 AWS 凭证到期时间和 12 小时三者中的最小值。有关安装和完整配置选项，请参阅链接的代码库 README。

将生成的令牌传递给 SDK，方式与传递 AWS 控制台生成的 API 密钥相同：

如果您可以在本地生成令牌，则您的进程已经拥有 SigV4 凭证，此时 SigV4 身份验证通常是更简单的选择。当进行 API 调用的进程与持有 AWS 凭证的进程分离时，请使用短期密钥。

SDK 不会自动刷新短期密钥。当令牌过期时，请生成新令牌并构造新客户端。使用该令牌的主体仍需要 aws-external-anthropic:CallWithBearerToken IAM 操作。

凭证优先级

平台特定的客户端按以下顺序解析身份验证。参数名称因语言约定而异（TypeScript 和 PHP 使用如下所示的 camelCase；Python 和 Ruby 使用 snake_case；Go 使用首字母大写缩写的 PascalCase；C# 和 Java 使用该语言的属性或构建器惯用法）。

1. apiKey 构造函数参数 → x-api-key 标头
2. awsAccessKey + awsSecretAccessKey 构造函数参数 → AWS SigV4
3. awsProfile 构造函数参数 → 使用命名配置文件的 AWS SigV4
4. ANTHROPIC_AWS_API_KEY 环境变量 → x-api-key 标头
5. 默认 AWS 凭证提供程序链 → AWS SigV4

区域解析

如果未将 aws_region/awsRegion 传递给构造函数，客户端会从环境中读取 AWS_REGION，并回退到 AWS_DEFAULT_REGION 以与标准 AWS SDK 兼容。区域是必需的；没有回退默认值。与回退到 us-east-1 的 AnthropicBedrock 不同，如果既未设置构造函数参数也未设置环境变量，AnthropicAWS/AnthropicAws 客户端会引发错误。

安装 SDK

Anthropic 的客户端 SDK 支持 AWS 上的 Claude 平台。每个 SDK 都提供一个平台特定的客户端类，用于处理 SigV4 签名、基于区域的基础 URL 构建以及 anthropic-workspace-id 标头。

可用模型

以下模型在 AWS 上的 Claude 平台上可用：

模型 ID 与第一方 Claude API 完全相同。没有 Bedrock 风格的 ARN 或 anthropic. 前缀。

新模型在 AWS 上的 Claude 平台上与第一方 Claude API 同步发布。

发起请求

AWS 上的 Claude 平台使用与第一方 Claude API 相同的 API 端点。区别在于基础 URL、身份验证方法，以及一个必需的 anthropic-workspace-id 标头，用于标识请求所针对的工作区。

客户端从环境中读取 AWS_REGION（或 AWS_DEFAULT_REGION）和 ANTHROPIC_AWS_WORKSPACE_ID。您可以通过将 aws_region / awsRegion 或 workspace_id / workspaceId 传递给构造函数来覆盖其中任何一个。区域和工作区 ID 都是必需的。如果无法解析工作区 ID，构造函数会引发错误；缺少区域同样会引发错误。

--aws-sigv4 值遵循 aws:amz:<region>:<service> 格式。SigV4 服务名称为 aws-external-anthropic，区域必须与您的端点 URL 中的区域匹配。任何一项不匹配都会产生通用的签名拒绝错误，而不是具体的诊断信息。

上下文窗口

AWS 上的 Claude 平台的上下文窗口大小与第一方 Claude API 完全相同。有关每个模型的限制，请参阅上下文窗口。

功能支持

AWS 上的 Claude 平台直接使用 Claude API 端点，这意味着您可以获得与第一方 Claude API 完全对等的功能（功能限制中注明的除外）：

• **功能访问：**由于 Anthropic 同时运营这两个平台，大多数新功能和测试版标头无需单独的集成步骤即可在 AWS 上的 Claude 平台上使用。有关例外情况，请参阅功能限制。
• **测试版功能：**传递标准的 anthropic-beta 标头以访问测试版功能，与使用 Claude API 时相同。
• **Agent Skills：**使用预构建和自定义的 Agent Skills，采用与 Claude API 相同的 container.skills 参数和测试版标头。所有预构建的 Skills（PowerPoint、Excel、Word、PDF）开箱即用。
• **代码执行：**使用代码执行工具在 Anthropic 的托管沙箱中运行代码。
• **工具使用：**计算机使用和所有其他工具使用功能均可用。
• **扩展思考：**使用与 Claude API 相同的参数启用扩展思考。
• **流式传输：**完整的 SSE 流式传输支持，用于实时响应。
• **批处理：**提交批处理请求以处理高吞吐量工作负载。
• **提示缓存：**缓存工具、系统提示和消息历史记录以降低延迟和成本。所有提示缓存功能（5 分钟 TTL、1 小时 TTL 和自动缓存）均可用。
• **Files API：**跨请求上传和引用文件。

有关与 Amazon Bedrock 的功能可用性差异，请参阅对比表。

Claude 托管代理

Claude 托管代理在 AWS 上的 Claude 平台上可用，包括代理、环境、会话、凭证保管库、内存存储、Webhook、多代理编排和自托管沙箱。

AWS 上的 Claude 平台的会话行为与第一方 Claude 托管代理在以下一个方面有所不同：

• **自主会话重新身份验证：**会话可以在没有任何用户事件的情况下自主运行最多 6 小时。6 小时后，会话需要重新身份验证才能继续。要重新进行身份验证，请向会话发送任何用户角色事件（参见事件和流式传输）。第一方 Claude 托管代理没有自主会话运行时限制。

不支持的功能

以下功能目前在 AWS 上的 Claude 平台上不可用：

• **HIPAA 就绪：**Anthropic 的 HIPAA 就绪计划不可用。请参阅 API 和数据保留。

• **Admin API：**工作区端点（在 /v1/organizations/workspaces 上的创建、获取、列出、更新和归档）可用。其他 Admin API 端点（组织成员、工作区成员、邀请、API 密钥、使用情况报告、成本报告、速率限制报告和外部密钥）目前不可用。请改为在 Claude Console 中管理 CMEK 密钥。请改为在 Claude Console 中查看使用情况和成本数据。组织成员资格由 AWS IAM 管理。
• **工作区成员管理：**无法在单个工作区中添加或删除用户。访问由工作区 ARN 上的 AWS IAM 策略控制。
• **支出限制：**不可用。请改为依赖 AWS 计费控制。
• **Claude Code 工作区和 Analytics API：**带自动速率限制的 Claude Code 工作区不可用。Claude Code 使用情况显示在常规使用情况视图中，而非专用界面。
• **OAuth 身份验证：**不支持。请使用 SigV4 或 API 密钥身份验证。
• **快速模式：**在 AWS 上的 Claude 平台上不可用。
• **OpenAI 兼容的 API 端点：**在 AWS 上的 Claude 平台上不可用。
• **自托管沙箱工作列表端点：**用于列出自托管沙箱待处理工作的 GET /v1/environments/{id}/work 端点目前不可用。其他工作端点（轮询、确认、心跳、停止、发布结果、按项获取和统计）正常工作。
• **MCP 隧道：**仅支持通过公共互联网公开的 MCP 服务器。

数据驻留

AWS 上的 Claude 平台支持以下推理地理位置：

• **US（美国）：**推理保留在美国数据中心内。适用 1.1 倍定价乘数。
• **Global（全球）：**推理可以路由到全球任何 Anthropic 运营的数据中心。适用标准定价。

使用 inference_geo 参数为每个请求设置推理地理位置：

如果省略 inference_geo，请求将使用工作区的 default_inference_geo（如果已配置），否则使用 global。

工作区级别的推理地理位置控制（allowed_inference_geos 和 default_inference_geo）在 AWS 上的 Claude 平台上也可用。请参阅工作区级别限制。

工作区

AWS 上的 Claude 平台的推理和资源请求以工作区为目标。您在这些 API 调用的 anthropic-workspace-id 标头中传递工作区的 ID。工作区 ID 使用带标签的格式，即 wrkspc_ 后跟字母数字标识符（例如 wrkspc_01AbCdEf23GhIj）。如果您还没有工作区 ID，请参阅获取您的工作区 ID。

工作区范围限定

工作区绑定到单个 AWS 区域。在 us-west-2 中创建的工作区只能通过 us-west-2 端点访问。使用情况、配额、成本、文件、批处理和 Skills 均按工作区汇总，从而在 Claude Console 中为您提供按区域的明细。

工作区还充当 AWS 上的 Claude 平台的主要 IAM 资源。您可以使用工作区 ARN 通过 AWS IAM 策略授予或拒绝对特定工作区的访问。ARN 的资源段与您在 anthropic-workspace-id 标头中传递的带 wrkspc_ 前缀的 ID 相同：

arn:aws:aws-external-anthropic:{region}:{account-id}:workspace/{workspace-id}

例如：

arn:aws:aws-external-anthropic:us-west-2:123456789012:workspace/wrkspc_01AbCdEf23GhIj

有关策略示例，请参阅 IAM 策略。

管理工作区

从 AWS 控制台的 Workspaces（工作区）页面或使用 Admin API 工作区端点创建其他工作区、重命名工作区或归档工作区。新工作区绑定到您调用以创建它的端点所在的 AWS 区域（参见工作区范围限定）。Claude Console 的工作区页面为只读。

使用 Claude Console

AWS 上的 Claude 平台使用位于 platform.claude.com 的标准 Claude Console。当您从 AWS 控制台登录时，Claude Console 侧边栏左下角会显示 Account managed by AWS（账户由 AWS 管理）指示器，并且 Console 的范围限定为您的 AWS 上的 Claude 平台组织。它提供使用情况分析、成本明细、速率限制可见性、工作区可见性，以及用于管理文件、Agent Skills、批处理作业和 Claude 托管代理资源（代理、会话、环境、凭证保管库、内存存储和 Webhook）的页面。

登录

对 Claude Console 的访问通过 AWS IAM 进行联合身份验证。有关完整的首次登录流程，请参阅设置您的账户。简而言之：

1. 代入具有 aws-external-anthropic:AssumeConsole 权限的 IAM 角色。请参阅 AWS 上的 Claude 平台的 IAM 操作。
2. 在 AWS 控制台中导航到 Claude Platform on AWS 页面。
3. 选择 Open Claude Console（打开 Claude Console）。AWS 控制台会签发 JWT 并将您重定向到 platform.claude.com。
4. 首次登录时，系统会提示您输入电子邮件地址；请输入您的工作电子邮件。平台会即时配置您的 Claude Console 用户。

有两个 Claude Console 角色可用：Admin（管理员）和 Developer（开发者）。Admin 角色授予对 AWS 上的 Claude 平台可用的所有 Claude Console 页面和设置的访问权限。Developer 角色授予对使用情况、成本、速率限制和工作区信息的读取访问权限。请联系您的 Anthropic 客户代表为主体分配 Admin 或 Developer 角色。

可用页面

通过 AWS 网关列指示该页面是否通过 AWS 网关读取和写入数据（因此受 IAM 操作管控）。标记为否的页面直接从 Anthropic 读取组织级元数据，并绕过 IAM 操作检查。

切换组织

Claude Console 不支持在 Claude Platform on AWS 中切换组织。要访问其他组织，请注销并通过 AWS 控制台使用该组织 AWS 账户的 IAM 角色重新进行身份验证。

速率限制和配额

Claude Platform on AWS 在注册时分配 Tier 1 速率限制。速率限制由 Anthropic 直接管理，而非通过 AWS 配额系统管理。

与第一方 Claude API 不同，自动层级提升不适用。如果您需要更高的限制，请联系您的 Anthropic 客户代表。有关层级详情和各模型限制，请参阅速率限制。

账单

Claude Platform on AWS 通过 AWS Marketplace 计费。使用量以 "Claude Consumption Unit"（Claude 消费单位），即 CCU 计价，按小时计量，并在您的 AWS 账单上按月后付费结算。CCU 不是预付费额度；不存在 CCU 余额或承诺用量。

有关 CCU 价格、换算机制、折扣应用方式以及各模型令牌费率，请参阅 Claude Platform on AWS 定价。

监控和日志记录

AWS CloudTrail 可以捕获发送到 Claude Platform on AWS 的所有请求。工作区、保管库和 webhook 操作默认作为管理事件（Management events）记录。推理、批处理、文件、技能、模型、用户配置文件以及 Claude Managed Agents 操作（保管库和 webhook 除外）被归类为数据事件（Data events），需要显式配置数据事件日志记录，这会产生额外的 CloudTrail 费用。有关完整的事件类型分类，请参阅 IAM 操作参考；有关配置详情，请参阅 AWS CloudTrail 文档。

请求 ID

每个响应在响应标头中包含两个请求 ID：

• **AWS 请求 ID（x-amzn-requestid）：**主 ID，在 CloudTrail 中建立索引。通过 AWS 工具调查请求或联系 AWS 支持时，请使用此 ID。
• **Anthropic 请求 ID（request-id）：**辅助 ID。联系 Anthropic 支持时，请使用此 ID。

Anthropic 建议至少以 30 天滚动周期记录您的活动，以便了解使用模式并调查任何潜在问题。

从 Amazon Bedrock 迁移

如果您目前在 Bedrock 上使用 Claude，迁移到 Claude Platform on AWS 需要对整个集成进行更改。SigV4 签名仍受支持，但签名上下文、基础 URL、API 格式、模型 ID、SDK 客户端和包、流式传输格式、请求标头以及区域可用性均会发生变化。下表总结了这些差异。

变更内容

迁移差异取决于您当前使用的 Bedrock 集成方式。下表展示了当前 Bedrock 集成（位于 bedrock-mantle.{region}.api.aws 的 Messages API）和旧版 InvokeModel 集成。

如果您使用的是当前 Bedrock 集成，请求正文格式已经是 Messages API；需要更改的是基础 URL、SigV4 服务名称、模型 ID，以及添加 anthropic-workspace-id 标头。如果您使用的是旧版 InvokeModel 或 Converse API，您还需要将请求和响应结构重写为 Messages API 格式。有关请求结构映射，请参阅 Claude on Amazon Bedrock（旧版）。

您将获得的优势

• 通常可在当天访问新模型和新功能（请参阅功能限制）
• 用于文档生成的 Agent Skills（PowerPoint、Excel、Word、PDF）
• 在 Anthropic 托管沙箱中执行代码
• 通过 anthropic-beta 标头使用测试版功能（请参阅功能限制）
• 用于配额可见性和使用情况分析的 Claude Console
• Anthropic 直接支持
• API 密钥身份验证作为 SigV4 的替代方案（请参阅 API 密钥身份验证）

保持不变的内容

• AWS IAM 身份验证（SigV4）
• AWS 作为开票方（计费渠道从原生 AWS 服务变更为 AWS Marketplace；请参阅商业注意事项）
• AWS 承诺用量抵扣

迁移注意事项

商业注意事项

• **Anthropic 服务条款：**使用 Claude Platform on AWS 需要接受 Anthropic 的商业服务条款和使用政策。如果您的组织尚未接受这些条款（例如，您仅通过 Bedrock 使用过 Claude），系统会在账户设置期间提示您接受。请参阅设置您的账户。
• **折扣和私有报价：**协商的折扣和 AWS Marketplace 私有报价不会在 Bedrock 和 Claude Platform on AWS 之间自动转移。请与您的 Anthropic 客户代表合作，为 Claude Platform on AWS 设置商业条款。

IAM 策略

Claude Platform on AWS 与 AWS IAM 集成以实现访问控制。您可以使用标准 IAM 策略语法授予或拒绝对特定工作区上特定 API 操作的访问权限。

SigV4 服务名称和 IAM 操作命名空间为 aws-external-anthropic。操作遵循 aws-external-anthropic:<Action> 模式（例如 aws-external-anthropic:CreateInference）。

示例：拒绝批量推理

以下策略允许实时推理，同时阻止批处理：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "aws-external-anthropic:CreateInference",
        "aws-external-anthropic:CountTokens",
        "aws-external-anthropic:GetModel",
        "aws-external-anthropic:ListModels",
        "aws-external-anthropic:GetWorkspace"
      ],
      "Resource": "arn:aws:aws-external-anthropic:*:*:workspace/*"
    },
    {
      "Effect": "Allow",
      "Action": "aws-external-anthropic:ListWorkspaces",
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "aws-external-anthropic:CreateBatchInference",
        "aws-external-anthropic:GetBatchInference",
        "aws-external-anthropic:ListBatchInferences"
      ],
      "Resource": "*"
    }
  ]
}

GetBatchInference 操作同时授权批处理元数据路由和批处理结果路由。拒绝该操作会同时阻止这两种读取。有关适用于 ZDR 敏感工作负载的仅拒绝（Deny-only）策略，请参阅针对 ZDR 敏感工作区的功能锁定。

托管策略

AWS 为常见访问模式提供了五个托管策略（AnthropicFullAccess、AnthropicReadOnlyAccess、AnthropicInferenceAccess、AnthropicLimitedAccess 和 AnthropicSelfHostedEnvironmentAccess）。有关每个策略授予的操作、IAM 操作的完整列表、路由到操作的映射以及其他策略示例，请参阅 Claude Platform on AWS 的 IAM 操作。

其他资源

• Claude Platform on AWS 的 Claude Console：platform.claude.com（通过 AWS 控制台访问）
• 定价详情：定价
• Bedrock（AWS 运营的 Claude）：Claude in Amazon Bedrock
• AWS Marketplace：aws.amazon.com/marketplace