管理合规 API

获取 Compliance API 访问权限

为您的组织申请 Compliance API 访问权限，然后创建 Compliance Access Key（具有限定范围的权限）或 Admin API 密钥，并了解应使用哪种密钥。

Compliance API 需申请后启用。Claude Enterprise 组织可访问完整的 API；Claude Console 组织仅可访问 Activity Feed（活动信息流）。本页介绍如何申请访问权限以及如何创建 API 密钥。

**所需角色：**组织管理员（Claude Console）或主要所有者（claude.ai）。

Compliance API 使用两种密钥类型，您需要创建哪种密钥取决于您的组织使用的 Claude 产品。主要所有者在 claude.ai 中创建 Compliance Access Key（合规访问密钥）；这些密钥可解锁完整的 Compliance API。组织管理员在 Claude Console 中创建 Admin API 密钥；这些密钥仅可解锁 Activity Feed。

您需要哪种密钥？

密钥类型	创建位置	用途	是否适用于 Compliance API？
Compliance Access Key（`sk-ant-api01-...`）	claude.ai > Organization settings > API	Activity Feed、对话、文件、项目、用户和组织元数据	是（所有端点）
Admin API 密钥（`sk-ant-admin01-...`）	Claude Console > Settings > Admin keys	Admin API 和 Compliance API Activity Feed	仅限 Activity Feed
Analytics API 密钥	claude.ai > Analytics > API keys	Claude Enterprise Analytics API	否
Claude API 密钥（`sk-ant-api03-...`）	Claude Console > Settings > API keys	通过 Claude API 调用 Claude 模型	否

Claude Enterprise 租户拥有一个父组织，该父组织为其下的每个工作负载组织集中管理身份、SSO 和 SCIM。这些工作负载组织是父组织的关联组织。

**Claude Enterprise 父组织不会出现在 Claude Console（platform.claude.com）中。**父组织不承载任何工作负载、Claude API 密钥或 Admin API 密钥。请在 claude.ai 的 Organization settings（组织设置）中创建 Compliance Access Key，而不是在 Claude Console 中创建。

申请 Compliance API 访问权限

请联系您的 Anthropic 代表以申请访问权限。启用操作在父组织级别进行，并会级联到每个关联组织，包括 claude.ai 和 Claude Console。启用后的变化取决于您的组织使用的 Claude 产品。

启用后：claude.ai 组织

在 Anthropic 为您的父组织启用 Compliance API 后，主要所有者可以在 claude.ai > Organization settings > API 的 Keys（密钥）部分创建 Compliance Access Key。

启用后：Claude Console 组织

在 Anthropic 为您的父组织启用 Compliance API 后，此后创建的 Admin API 密钥将带有 read:compliance_activities 范围。启用前创建的 Admin API 密钥仍可用于 Admin API，但使用这些密钥调用 Activity Feed 会返回 403 Forbidden；请创建新的 Admin API 密钥以获取该范围。

创建 Compliance Access Key

在创建 Compliance Access Key 之前，必须先为您的 claude.ai 父组织启用 Compliance API。

具有 read:compliance_user_data 范围的 Compliance Access Key 可以读取每个关联组织中的所有对话、文件和项目，包括主要所有者尚未查看过的内容。具有 delete:compliance_user_data 范围的密钥可以永久删除这些内容。请像对待生产数据库凭据一样对待 Compliance Access Key：将其存储在密钥管理器中，切勿存储在源代码控制或 SIEM 转发器配置中。

以主要所有者身份登录
只有父组织的主要所有者才能创建 Compliance Access Key。如果下一步中描述的 API 页面不可见，或者在创建密钥时合规范围不可用，则说明您不是主要所有者，或者尚未为您的组织启用 Compliance API（请参阅申请 Compliance API 访问权限）。
打开 API 设置
前往 claude.ai > Organization settings > API 并找到 Keys（密钥）部分。

创建密钥

点击 Create key（创建密钥），为密钥命名，然后从下表中选择一个或多个范围。点击 Create（创建）。

范围	授予的权限
`read:compliance_activities`	读取父组织及所有关联组织的 Activity Feed
`read:compliance_user_data`	读取用户对话、消息、文件、项目、组织用户和群组成员
`delete:compliance_user_data`	删除用户对话、文件和项目
`read:compliance_org_data`	读取组织元数据（名称、类型、角色和群组）。用户列表和群组成员资格需要 `read:compliance_user_data`。

选择您的集成所需的最小范围集：

仅读取 Activity Feed 的审计管道只需要 read:compliance_activities。
读取对话和文件但从不删除它们的电子取证（eDiscovery）工具不需要 delete:compliance_user_data。
如果您的工作流程既需要读取又需要删除，请使用具有不同范围的两个密钥，这样即使读取密钥泄露也无法删除数据。

Compliance Access Key 的范围在创建后不可更改。如需更改范围，请创建具有所需范围的新密钥，然后删除旧密钥。

复制并存储密钥
复制显示的密钥（以 sk-ant-api01- 开头）并将其存储在您的密钥管理器中。完整的密钥仅显示一次。
导出密钥以用于本指南中的示例
将密钥设置为环境变量，以便本指南中的 shell 示例可以读取它：
export ANTHROPIC_COMPLIANCE_ACCESS_KEY=sk-ant-api01-...

创建 Admin API 密钥

在 Admin API 密钥可以调用 Activity Feed 之前，必须先为您的 Claude Console 组织启用 Compliance API。

以组织管理员身份登录
只有具有 admin（管理员）角色的组织成员才能创建 Admin API 密钥。有关完整的角色列表，请参阅组织角色和权限。
打开 Admin keys 设置
前往 Claude Console > Settings > Admin keys。
创建密钥
点击 Create key（创建密钥），为密钥命名，然后点击 Create（创建）。
复制并存储密钥
复制显示的密钥（以 sk-ant-admin01- 开头）并将其存储在您的密钥管理器中。完整的密钥仅显示一次。
导出密钥以用于 Activity Feed
将密钥设置为环境变量：
export ANTHROPIC_ADMIN_KEY=sk-ant-admin01-...
使用不同的变量名可以避免在您同时配置两种密钥时 Admin API 密钥覆盖 Compliance Access Key。本指南中的 cURL 示例从 $ANTHROPIC_COMPLIANCE_ACCESS_KEY 读取密钥；当使用 Admin API 密钥调用 Activity Feed 时，请替换为 $ANTHROPIC_ADMIN_KEY。

只有在创建密钥之前已为组织启用 Compliance API 的情况下，Admin API 密钥才会带有 read:compliance_activities 范围；请参阅启用后：Claude Console 组织。这些密钥无法被授予任何其他 Compliance API 范围，因此调用 Activity Feed 以外的任何端点都会返回 403 Forbidden。

有关同一密钥在管理 Claude Console 组织中的作用，请参阅 Admin API。

检查密钥的范围

要检查您已有密钥的范围，请使用以下方法之一。

密钥前缀。sk-ant-admin01- 是 Admin API 密钥（仅带有 read:compliance_activities，受前一节所述的启用时间限制）。sk-ant-api01- 是 Compliance Access Key；其范围是您在创建时选择的子集。
**设置界面。**打开 claude.ai > Organization settings > API 中的 Keys（密钥）部分，或 Claude Console > Settings > Admin keys 中的 Admin keys 部分，查看该密钥的 Scopes（范围）列。
**错误响应。**超出密钥范围的调用会返回 403 错误，消息格式为 Missing required scopes. Got: [<scopes the key carries>] Needed: [<scopes the endpoint requires>]。有关完整的错误目录，请参阅处理 Compliance API 错误。

{
  "error": {
    "type": "permission_error",
    "message": "Missing required scopes. Got: ['read:compliance_activities'] Needed: ['read:compliance_user_data']"
  }
}

管理和轮换密钥

在创建 Compliance Access Key 的同一 Keys（密钥）表中删除该密钥：前往 claude.ai > Organization settings > API。在 Claude Console > Settings > Admin keys 中删除 Admin API 密钥。

删除密钥会在下一次请求时生效：没有宽限期。Compliance Access Key 不会自行过期。

要在不中断服务的情况下轮换密钥：

创建具有相同范围的新密钥。
更新您的集成以使用新密钥。
验证集成使用新密钥可以成功运行。
删除旧密钥。

轮换前存储的分页游标仍然有效：游标的作用域是组织，而不是密钥。

如果 Compliance Access Key 泄露，请立即删除它，审计 Activity Feed 中由被泄露密钥产生的 compliance_api_accessed 活动，并轮换泄露密钥可能触及的任何下游凭据。传递 activity_types[]=compliance_api_accessed 以限定查询范围，然后在您的客户端中保留 actor.type 为 api_actor 且 actor.api_key_id 与被泄露密钥匹配的活动；有关 actor 架构，请参阅了解 Activity 对象。

后续步骤

查询 Activity Feed

使用任何具有 read:compliance_activities 范围的密钥读取组织范围内的活动事件。

检索和删除对话、文件和项目

使用具有 read:compliance_user_data 范围的 Compliance Access Key 检索 claude.ai 内容，使用 delete:compliance_user_data 范围删除内容。

Was this page helpful?

管理合规 API

获取 Compliance API 访问权限

为您的组织申请 Compliance API 访问权限，然后创建 Compliance Access Key（具有限定范围的权限）或 Admin API 密钥，并了解应使用哪种密钥。

**所需角色：**组织管理员（Claude Console）或主要所有者（claude.ai）。

您需要哪种密钥？

密钥类型	创建位置	用途	是否适用于 Compliance API？
Compliance Access Key（`sk-ant-api01-...`）	claude.ai > Organization settings > API	Activity Feed、对话、文件、项目、用户和组织元数据	是（所有端点）
Admin API 密钥（`sk-ant-admin01-...`）	Claude Console > Settings > Admin keys	Admin API 和 Compliance API Activity Feed	仅限 Activity Feed
Analytics API 密钥	claude.ai > Analytics > API keys	Claude Enterprise Analytics API	否
Claude API 密钥（`sk-ant-api03-...`）	Claude Console > Settings > API keys	通过 Claude API 调用 Claude 模型	否

Claude Enterprise 租户拥有一个父组织，该父组织为其下的每个工作负载组织集中管理身份、SSO 和 SCIM。这些工作负载组织是父组织的关联组织。

申请 Compliance API 访问权限

启用后：claude.ai 组织

在 Anthropic 为您的父组织启用 Compliance API 后，主要所有者可以在 claude.ai > Organization settings > API 的 Keys（密钥）部分创建 Compliance Access Key。

启用后：Claude Console 组织

创建 Compliance Access Key

在创建 Compliance Access Key 之前，必须先为您的 claude.ai 父组织启用 Compliance API。

以主要所有者身份登录
只有父组织的主要所有者才能创建 Compliance Access Key。如果下一步中描述的 API 页面不可见，或者在创建密钥时合规范围不可用，则说明您不是主要所有者，或者尚未为您的组织启用 Compliance API（请参阅申请 Compliance API 访问权限）。
打开 API 设置
前往 claude.ai > Organization settings > API 并找到 Keys（密钥）部分。

创建密钥

点击 Create key（创建密钥），为密钥命名，然后从下表中选择一个或多个范围。点击 Create（创建）。

范围	授予的权限
`read:compliance_activities`	读取父组织及所有关联组织的 Activity Feed
`read:compliance_user_data`	读取用户对话、消息、文件、项目、组织用户和群组成员
`delete:compliance_user_data`	删除用户对话、文件和项目
`read:compliance_org_data`	读取组织元数据（名称、类型、角色和群组）。用户列表和群组成员资格需要 `read:compliance_user_data`。

选择您的集成所需的最小范围集：

仅读取 Activity Feed 的审计管道只需要 read:compliance_activities。
读取对话和文件但从不删除它们的电子取证（eDiscovery）工具不需要 delete:compliance_user_data。
如果您的工作流程既需要读取又需要删除，请使用具有不同范围的两个密钥，这样即使读取密钥泄露也无法删除数据。

Compliance Access Key 的范围在创建后不可更改。如需更改范围，请创建具有所需范围的新密钥，然后删除旧密钥。

复制并存储密钥
复制显示的密钥（以 sk-ant-api01- 开头）并将其存储在您的密钥管理器中。完整的密钥仅显示一次。
导出密钥以用于本指南中的示例
将密钥设置为环境变量，以便本指南中的 shell 示例可以读取它：
export ANTHROPIC_COMPLIANCE_ACCESS_KEY=sk-ant-api01-...

创建 Admin API 密钥

在 Admin API 密钥可以调用 Activity Feed 之前，必须先为您的 Claude Console 组织启用 Compliance API。

以组织管理员身份登录
只有具有 admin（管理员）角色的组织成员才能创建 Admin API 密钥。有关完整的角色列表，请参阅组织角色和权限。
打开 Admin keys 设置
前往 Claude Console > Settings > Admin keys。
创建密钥
点击 Create key（创建密钥），为密钥命名，然后点击 Create（创建）。
复制并存储密钥
复制显示的密钥（以 sk-ant-admin01- 开头）并将其存储在您的密钥管理器中。完整的密钥仅显示一次。
导出密钥以用于 Activity Feed
将密钥设置为环境变量：
export ANTHROPIC_ADMIN_KEY=sk-ant-admin01-...
使用不同的变量名可以避免在您同时配置两种密钥时 Admin API 密钥覆盖 Compliance Access Key。本指南中的 cURL 示例从 $ANTHROPIC_COMPLIANCE_ACCESS_KEY 读取密钥；当使用 Admin API 密钥调用 Activity Feed 时，请替换为 $ANTHROPIC_ADMIN_KEY。

有关同一密钥在管理 Claude Console 组织中的作用，请参阅 Admin API。

检查密钥的范围

要检查您已有密钥的范围，请使用以下方法之一。

密钥前缀。sk-ant-admin01- 是 Admin API 密钥（仅带有 read:compliance_activities，受前一节所述的启用时间限制）。sk-ant-api01- 是 Compliance Access Key；其范围是您在创建时选择的子集。
**设置界面。**打开 claude.ai > Organization settings > API 中的 Keys（密钥）部分，或 Claude Console > Settings > Admin keys 中的 Admin keys 部分，查看该密钥的 Scopes（范围）列。
**错误响应。**超出密钥范围的调用会返回 403 错误，消息格式为 Missing required scopes. Got: [<scopes the key carries>] Needed: [<scopes the endpoint requires>]。有关完整的错误目录，请参阅处理 Compliance API 错误。

{
  "error": {
    "type": "permission_error",
    "message": "Missing required scopes. Got: ['read:compliance_activities'] Needed: ['read:compliance_user_data']"
  }
}

管理和轮换密钥

删除密钥会在下一次请求时生效：没有宽限期。Compliance Access Key 不会自行过期。

要在不中断服务的情况下轮换密钥：

创建具有相同范围的新密钥。
更新您的集成以使用新密钥。
验证集成使用新密钥可以成功运行。
删除旧密钥。

轮换前存储的分页游标仍然有效：游标的作用域是组织，而不是密钥。

后续步骤

查询 Activity Feed

使用任何具有 read:compliance_activities 范围的密钥读取组织范围内的活动事件。

检索和删除对话、文件和项目

使用具有 read:compliance_user_data 范围的 Compliance Access Key 检索 claude.ai 内容，使用 delete:compliance_user_data 范围删除内容。

Was this page helpful?