客戶管理的加密金鑰

claude "/claude-api tell me about customer-managed encryption keys"

「Customer-managed encryption key」（客戶管理的加密金鑰），即 CMEK，讓您可以在自己的 AWS KMS、Google Cloud KMS 或 Azure Key Vault 中佈建加密金鑰，並讓 Anthropic 使用該金鑰來加密特定工作區的靜態資料。您保有對金鑰的完整控制權，包括輪替、稽核和撤銷，而 Anthropic 對您的金鑰執行的金鑰操作會記錄在您的雲端供應商稽核日誌中。

組織可以選擇啟用客戶管理的加密金鑰，以取代 Anthropic 提供的預設加密。

運作方式

CMEK 是以每個工作區為單位附加的。只有管理員可以進行設定。CMEK 保護的是金鑰啟用後寫入的資料。現有資料（先前的對話、檔案和工作階段）仍使用 Anthropic 管理的金鑰加密，不會以您的金鑰重新加密。

CMEK 管理員設定事件會出現在 Compliance API Activity Feed 中。Anthropic 對您的金鑰執行的金鑰操作（例如包裝和解包裝資料金鑰）不會出現在 Compliance API 中；它們會出現在您的雲端供應商稽核日誌中。

先決條件

• 在將託管加密金鑰的帳戶、專案或訂閱中具有雲端管理員存取權。
• Anthropic Console 組織管理員角色（或擁有者／主要擁有者）。

可用性與區域

CMEK 目前僅在美國區域提供，且所有加密操作均在美國區域處理。目前尚不支援多區域金鑰和歐盟金鑰駐留。

在 Claude Platform on AWS 上，CMEK 僅支援 AWS KMS 金鑰；無法註冊 Google Cloud KMS 和 Azure Key Vault 金鑰。請在 Claude Console 中建立、驗證和附加金鑰；external_keys API 端點目前在 Claude Platform on AWS 上不可用。金鑰必須與其附加的工作區位於相同的 AWS 區域。

為了將延遲降至最低，請選擇靠近 Anthropic 美國基礎設施的區域：

CMEK 保護的內容

已加密

• 訊息內容，包括隨請求傳送的內嵌檔案附件，以及 MCP 和工具設定。
• 備份和快照會繼承該金鑰。

已停用或修改

啟用 CMEK 後，某些功能會被關閉或大幅修改：

• 受管理的代理記憶體和代理夢境功能會被停用。
• 測試版和研究預覽功能可能不在 CMEK 的涵蓋範圍內。

未加密

這些功能仍然可用，但其資料不會以您的金鑰加密。您可以在「設定」中停用任何不適合您使用情境的功能。

• Console 中的 Workbench。
• 非靜態資料（例如快取）以及 TTL 短於 24 小時的資料。
• Activity Feed、稽核日誌和遙測網路流量（如 OTEL），以便客戶即使在金鑰被撤銷的情況下也能維持合規性。

功能支援

啟用 CMEK 後，以下 API、受管理的代理資源和工具會以您的金鑰加密儲存靜態資料：

限制

• **不可逆的操作：**一旦金鑰附加到工作區，就無法分離或更換。在同一金鑰內輪替金鑰材料（例如 AWS KMS 自動輪替、Cloud KMS 輪替排程或 Azure Key Vault 輪替原則）可透明地支援，且無需在 Anthropic 中進行任何變更。切換到不同的金鑰需要使用新金鑰建立新的工作區並遷移您的資料。撤銷或停用金鑰會使該工作區中所有受 CMEK 保護的資料永久無法存取，且沒有回退途徑。
• **無追溯加密：**CMEK 僅保護金鑰啟用後寫入的資料。
• **延遲：**包裝或解包裝資料金鑰的操作會往返您的金鑰管理服務，這可能會為讀取或寫入靜態資料的動作增加少量延遲。
• **撤銷延遲：**金鑰撤銷最多可能需要一小時（快取 TTL）。在該時間範圍內已在處理中的請求可能會繼續成功。

設定您的供應商

請依照您所使用的金鑰管理服務的指南進行操作。