客户管理的加密密钥

claude "/claude-api tell me about customer-managed encryption keys"

"Customer-managed encryption key"（客户管理的加密密钥），即 CMEK，允许您在自己的 AWS KMS、Google Cloud KMS 或 Azure Key Vault 中配置加密密钥，并让 Anthropic 使用该密钥对特定工作区的静态数据进行加密。您保留对密钥的完全控制权，包括轮换、审计和撤销，并且 Anthropic 对您的密钥执行的密钥操作会记录在您的云提供商的审计日志中。

组织可以选择启用客户管理的加密密钥，以替代 Anthropic 提供的默认加密方式。

工作原理

CMEK 按工作区附加。只有管理员可以对其进行配置。CMEK 保护的是密钥启用后写入的数据。现有数据（之前的聊天、文件和会话）仍使用 Anthropic 管理的密钥进行加密，不会使用您的密钥重新加密。

CMEK 管理员配置事件会显示在 Compliance API 活动信息流中。Anthropic 对您的密钥执行的密钥操作（例如包装和解包数据密钥）不会显示在 Compliance API 中；它们会显示在您的云提供商的审计日志中。

前提条件

• 在将托管加密密钥的账户、项目或订阅中拥有云管理员访问权限。
• Anthropic Console 组织管理员角色（或所有者/主要所有者）。

可用性和区域

CMEK 目前仅在美国区域可用，所有加密操作均在美国区域处理。目前尚不支持多区域密钥和欧盟密钥驻留。

在 Claude Platform on AWS 上，CMEK 仅支持 AWS KMS 密钥；无法注册 Google Cloud KMS 和 Azure Key Vault 密钥。请在 Claude Console 中创建、验证和附加密钥；external_keys API 端点目前在 Claude Platform on AWS 上不可用。密钥必须与其所附加的工作区位于同一 AWS 区域。

为了最大限度地降低延迟，请选择靠近 Anthropic 美国基础设施的区域：

CMEK 保护的内容

加密

• 消息内容，包括随请求发送的内联文件附件，以及 MCP 和工具配置。
• 备份和快照继承该密钥。

禁用或修改

启用 CMEK 后，某些功能会被关闭或发生重大修改：

• 托管代理记忆和代理梦境功能被禁用。
• 测试版和研究预览功能可能不受 CMEK 保护。

不加密

以下功能仍然可用，但其数据不会使用您的密钥进行加密。您可以在"设置"中禁用任何不适合您使用场景的功能。

• Console 中的 Workbench。
• 非静态数据（例如缓存）以及 TTL 短于 24 小时的数据。
• 活动信息流、审计日志和遥测网络流量（如 OTEL），以便客户即使在密钥被撤销的情况下也能保持合规性。

功能支持

启用 CMEK 后，以下 API、托管代理资源和工具会将静态数据存储在您的密钥保护之下：

限制

• **不可逆操作：**一旦密钥附加到工作区，就无法分离或更换。在同一密钥内轮换密钥材料（例如 AWS KMS 自动轮换、Cloud KMS 轮换计划或 Azure Key Vault 轮换策略）是透明支持的，无需在 Anthropic 中进行任何更改。切换到不同的密钥需要使用新密钥创建新的工作区并迁移您的数据。撤销或禁用密钥会使该工作区中所有受 CMEK 保护的数据永久无法访问，且没有回退路径。
• **无追溯加密：**CMEK 仅保护密钥启用后写入的数据。
• **延迟：**包装或解包数据密钥的操作需要往返访问您的密钥管理服务，这可能会给读取或写入静态数据的操作增加少量延迟。
• **撤销延迟：**密钥撤销最多可能需要一小时（即缓存 TTL）才能生效。在此期间已在处理中的请求可能会继续成功执行。

配置您的提供商

请按照您所使用的密钥管理服务对应的指南进行操作。