获取 Compliance API 访问权限

为您的组织请求 Compliance API 访问权限，然后创建 Compliance Access Key（带权限范围）或 Admin API key，并了解如何选择。

Compliance API 使用两种密钥类型，您创建哪种取决于组织使用的是哪个 Claude 产品。主要所有者在 claude.ai 中创建 Compliance Access Key；这些密钥可解锁完整的 Compliance API。组织管理员在 Claude Console 中创建 Admin API key；这些密钥仅可解锁活动动态。

您需要哪种密钥？

一个 Claude Enterprise 租户有一个父组织，为下属所有工作负载组织集中管理身份、SSO 和 SCIM。这些工作负载组织是父组织的关联组织。

申请 Compliance API 访问权限

请联系您的 Anthropic 代表申请访问权限。开通在父组织级别进行，并级联到每个关联组织，包括 claude.ai 和 Claude Console。开通后的变化取决于组织使用的 Claude 产品。

开通后：claude.ai 组织

Anthropic 为您的父组织开通 Compliance API 后，claude.ai > 组织设置 > 数据和隐私中会出现 Compliance access keys 部分。主要所有者随后可以创建 Compliance Access Key。

开通后：Claude Console 组织

Anthropic 为您的父组织开通 Compliance API 后，此后创建的 Admin API key 将具有 read:compliance_activities 权限范围。在开通之前创建的 Admin API key 仍可用于 Admin API，但使用它调用活动动态会返回 403 Forbidden；请创建新的 Admin API key 以获取该权限范围。

创建 Compliance Access Key

1. 以主要所有者身份登录

   只有父组织的主要所有者才能创建 Compliance Access Key。如果下一步中描述的 Compliance access keys 部分不可见，说明您不是主要所有者，或者您的组织尚未开通 Compliance API（请参阅申请 Compliance API 访问权限）。

2. 打开数据和隐私设置

   前往 claude.ai > 组织设置 > 数据和隐私，找到 Compliance access keys 部分。

3. 创建密钥

   点击 Create key，为密钥命名，然后从下表中选择一个或多个权限范围。点击 Create。

   权限范围	授权内容
   read:compliance_activities	读取父组织和所有关联组织的活动动态
   read:compliance_user_data	读取用户聊天、消息、文件、项目、组织用户和群组成员
   delete:compliance_user_data	删除用户聊天、文件和项目
   read:compliance_org_data	读取组织元数据（名称、类型、角色和群组）。用户列表和群组成员关系需要 read:compliance_user_data。

   选择您的集成所需的最小权限范围集：

   • 仅读取活动动态的审计管道只需 read:compliance_activities。
   • 读取聊天和文件但从不删除的电子发现工具不需要 delete:compliance_user_data。
   • 如果您的工作流既需要读取又需要删除，请使用两个密钥分别设置不同权限范围，这样泄露的读取密钥无法删除数据。

   Compliance Access Key 的权限范围在创建后不可更改。要更改权限范围，请使用所需权限范围创建新密钥，然后删除旧密钥。

4. 复制并存储密钥

   复制显示的密钥（以 sk-ant-api01- 开头）并将其存储在密钥管理器中。完整密钥仅显示一次。

5. 导出密钥供本指南中的示例使用

   将密钥设置为环境变量，以便本指南中的 shell 示例可以读取它：

   export ANTHROPIC_COMPLIANCE_ACCESS_KEY=sk-ant-api01-...
   

创建 Admin API key

1. 以组织管理员身份登录

   只有具有 admin 角色的组织成员才能创建 Admin API key。请参阅组织角色和权限了解完整角色列表。

2. 打开 Admin keys 设置

   前往 Claude Console > 设置 > Admin keys。

3. 创建密钥

   点击 Create key，为密钥命名，然后点击 Create。

4. 复制并存储密钥

   复制显示的密钥（以 sk-ant-admin01- 开头）并将其存储在密钥管理器中。完整密钥仅显示一次。

5. 导出密钥以用于活动动态

   将密钥设置为环境变量：

   export ANTHROPIC_ADMIN_KEY=sk-ant-admin01-...
   

   使用不同的变量名可以防止 Admin API key 覆盖 Compliance Access Key（如果您同时配置了两者）。本指南中的 cURL 示例从 $ANTHROPIC_COMPLIANCE_ACCESS_KEY 读取密钥；使用 Admin API key 调用活动动态时，请替换为 $ANTHROPIC_ADMIN_KEY。

Admin API key 仅在 Compliance API 在密钥创建之前已为组织开通时才具有 read:compliance_activities 权限范围；请参阅开通后：Claude Console 组织。它们无法被授予任何其他 Compliance API 权限范围，因此对活动动态以外的任何端点的调用都会返回 403 Forbidden。

关于同一密钥在管理 Claude Console 组织中的作用，请参阅 Admin API。

检查密钥的权限范围

要检查已拥有密钥的权限范围，请使用以下方法之一。

• 密钥前缀。 sk-ant-admin01- 是 Admin API key（仅具有 read:compliance_activities，取决于前文所述的开通时间）。sk-ant-api01- 是 Compliance Access Key；其权限范围是您在创建时选择的子集。
• 设置界面。 打开 claude.ai > 组织设置 > 数据和隐私中的 Compliance access keys 部分，或 Claude Console > 设置 > Admin keys 中的 Admin keys 部分，查看密钥的 Scopes 列。
• 错误响应。 超出密钥权限范围的调用会返回 403，消息格式为 Missing required scopes. Got: [<密钥具有的权限范围>] Needed: [<端点所需的权限范围>]。请参阅处理 Compliance API 错误了解完整的错误目录。

{
  "error": {
    "type": "permission_error",
    "message": "Missing required scopes. Got: ['read:compliance_activities'] Needed: ['read:compliance_user_data']"
  }
}

管理和轮换密钥

在创建 Compliance Access Key 的同一 Compliance access keys 面板中删除它：前往 claude.ai > 组织设置 > 数据和隐私。在 Claude Console > 设置 > Admin keys 中删除 Admin API key。

删除密钥在下一次请求时立即生效：没有宽限期。Compliance Access Key 不会自动过期。

要在不中断服务的情况下轮换密钥：

1. 创建具有相同权限范围的新密钥。
2. 更新您的集成以使用新密钥。
3. 验证集成使用新密钥是否成功。
4. 删除旧密钥。

轮换前存储的分页游标仍然有效：游标的作用域是组织而非密钥。

如果 Compliance Access Key 泄露，请立即删除它，审计活动动态中由受损密钥执行的 compliance_api_accessed 活动，并轮换泄露密钥可能访问的任何下游凭据。传入 activity_types[]=compliance_api_accessed 来限定查询范围，然后在客户端中筛选 actor.type 为 api_actor 且 actor.api_key_id 匹配受损密钥的活动；请参阅理解 Activity 对象了解 actor 架构。

后续步骤