AI News HubLIVE
站內改寫3 分鐘閱讀

為AWS推出Claude應用閘道器

今天,我們宣佈為AWS推出Claude應用閘道器,這是一個自託管控制平面,為組織提供對Claude Code和Claude Desktop訪問、成本和策略的單一控制點。本文介紹瞭如何使用Amazon Bedrock和AWS上的Claude平臺設定和執行Claude應用閘道器。

來源AWS Machine Learning Blog作者: Dani Mitchell

企業在多個開發團隊中部署Claude Code和Claude Desktop時,需要集中管理訪問許可權、成本和策略。傳統做法中,每位開發者需要獨立的憑證,設定需手動分發,支出難以追蹤或限制。缺乏集中控制點,治理只能依賴各團隊自行實施的工具。

今天,我們宣佈推出Claude應用閘道器 for AWS——一個自託管控制平面,為組織提供對Claude Code和Claude Desktop的單一控制點。它替代了為每位開發者單獨配置雲憑證、手動推送設定到每檯筆記型電腦或獨立搭建支出追蹤工具的需求。您可以透過Amazon Bedrock部署,將資料保留在AWS安全邊界內,或透過AWS上的Claude平臺獲得閘道器控制與原生Claude平臺體驗的雙重優勢。

Claude應用閘道器的工作原理

該閘道器由Anthropic內建於開發者已使用的Claude Code CLI二進位制檔案中。您可以在基礎設施中的一個無狀態容器中執行它,後端使用PostgreSQL資料庫儲存短生命週期的登入狀態和速率限制計數器。由於閘道器和客戶端是共同構建的,/login流程是閘道器感知的。客戶端在登入時自動應用託管設定,策略在每個請求上一致執行。

入職和離職流程遵循您現有的身份工作流。要授予訪問許可權,只需將開發者新增到您的身份提供商(IdP)。要撤銷許可權,將其從IdP移除,會話將在配置的令牌生命週期內(預設一小時)過期。開發者機器上不會儲存長期有效的金鑰。

閘道器處理五項核心職責:

身份:閘道器連線到任何符合OpenID Connect(OIDC)標準的身份提供商。開發者透過瀏覽器單點登入後,閘道器頒發一個短期令牌,CLI用於所有後續請求。

策略:您在伺服器上一次性定義託管設定。客戶端在登入時接收策略,閘道器在每個請求上強制執行。您可以集中調整允許的模型、工具許可權和預設設定,並按IdP組進行範圍限定。

遙測:客戶端為每個請求標記使用指標,閘道器透過OpenTelemetry協議(OTLP)將其中繼到您配置的收集器,例如您賬戶中的Amazon CloudWatch、Amazon Managed Service for Prometheus或第三方平臺。您控制遙測資料的去向和保留時間。

路由:閘道器持有您的上游憑證,並代表開發者將推理請求路由到Amazon Bedrock或AWS上的Claude平臺,支援跨AWS區域或多個賬戶的故障轉移。

支出上限:按組織、組或使用者設定每日、每週和每月的支出限制。當開發者超出上限時,閘道器會阻止進一步請求,直到週期重置或管理員提高限額。

配置

閘道器在啟動時讀取一個YAML檔案。以下是生產環境的最小配置示例:

檔案包含六個部分,金鑰保留在環境變數中。Bedrock上游使用容器的IAM角色,因此無需管理靜態憑證。要透過AWS上的Claude平臺路由,替換upstreams塊即可。

閘道器作為無狀態容器在私有網路中執行,支援Amazon ECS、Amazon EKS或Amazon EC2。您將其放在內部Application Load Balancer後面,並配置AWS Certificate Manager的TLS證書。Amazon RDS for PostgreSQL儲存短生命週期的登入狀態。開發者透過私有網路訪問閘道器,閘道器使用IAM任務角色代表他們呼叫上游提供商。

開發者登入

閘道器部署後,開發者執行claude /login。管理員透過裝置管理工具將託管設定檔案推送到開發者機器,預填閘道器URL,因此開發者直接看到Claude應用閘道器登入介面。

他們按Enter鍵,瀏覽器開啟您的企業SSO。一次登入即連線成功。會話使用OIDC重新整理令牌在後臺靜默重新整理,因此開發者無需重複瀏覽器登入即可在重啟後保持認證。如果使用者從IdP中移除,其會話將在下次重新整理時過期。

使用Claude Code

登入後,開發者使用Claude Code的方式與其他認證方法完全相同。他們編寫程式碼、執行命令、正常與Claude互動。區別對他們來說是無感的:每個請求都透過閘道器認證、透過配置的上游路由,並受您集中設定的策略約束。

模型選擇器僅顯示策略允許的模型。除模型訪問外,策略可以控制工具許可權,例如限制檔案寫入或網路訪問。它們還可以強制執行開發者本地無法覆蓋的許可權規則,並推送環境變數或鉤子以標準化團隊工作流。使用量歸屬於每位開發者的身份,支出根據其上限追蹤。如果他們離開公司,將其從IdP移除即可在配置的會話生命週期內撤銷訪問許可權。

結論

透過AWS上的Claude應用閘道器,您可以擴大組織中Claude Code和Claude Desktop的採用率,同時在一個地方管理身份、策略和成本。身份流透過您現有的IdP,策略集中執行,成本按使用者歸屬,開發者機器上無長期金鑰。

由於閘道器是自託管的,您可以在任何AWS區域部署,並將推理路由到Amazon Bedrock或AWS上的Claude平臺,包括跨區域和跨賬戶設定。當資料必須停留在AWS安全邊界內時選擇Amazon Bedrock;需要訪問Anthropic原生平臺體驗時選擇AWS上的Claude平臺(附帶AWS認證和計費)。

要開始使用,請下載Claude Code CLI並查閱Claude應用閘道器文件。透過AWS re:Post for Amazon Bedrock或您的常用AWS支援聯絡人傳送反饋。