Las empresas que implementan Claude Code y Claude Desktop en todos los equipos de desarrollo necesitan un control centralizado sobre el acceso, los costos y las políticas. A escala, esto es difícil de gestionar: cada desarrollador necesita una credencial individual, la configuración debe distribuirse manualmente y es difícil rastrear o limitar el gasto. Sin un punto de control centralizado, la gobernanza queda en manos de cualquier herramienta que cada equipo pueda implementar de forma independiente.
Hoy anunciamos la puerta de enlace de aplicaciones Claude para AWS, un plano de control autohospedado que brinda a las organizaciones un único punto de control sobre el acceso, el costo y la política para Claude Code y Claude Desktop. Reemplaza la necesidad de proporcionar una credencial de nube separada por desarrollador, enviar configuraciones a cada computadora portátil manualmente o implementar herramientas separadas para realizar un seguimiento del gasto. Puede implementarlo a través de Amazon Bedrock para mantener los datos dentro de los límites de seguridad de AWS, o a través de Claude Platform en AWS para obtener los mismos controles de puerta de enlace con la experiencia nativa de la plataforma Claude.
Descripción general de alto nivel de la puerta de enlace de aplicaciones Claude para AWS
En esta publicación, mostramos cómo configurar y ejecutar la puerta de enlace de aplicaciones Claude para AWS con Amazon Bedrock y Claude Platform en AWS.
Cómo funciona la puerta de enlace de aplicaciones de Claude
Anthropic entrega la puerta de enlace dentro del mismo binario Claude Code CLI que sus desarrolladores ya utilizan. Puede ejecutarlo en un contenedor sin estado en su infraestructura, respaldado por una base de datos PostgreSQL que almacena contadores de límite de velocidad y estado de inicio de sesión de corta duración. Debido a que la puerta de enlace y el cliente se construyen juntos, el flujo /login reconoce la puerta de enlace. El cliente aplica la configuración administrada automáticamente al iniciar sesión y la política se aplica de manera consistente en cada solicitud.
La incorporación y baja siguen sus flujos de trabajo de identidad existentes. Para otorgar acceso, agregue un desarrollador a su proveedor de identidad (IdP). Para revocarlo, elimínelos y su sesión caducará dentro de la vida útil del token configurado (una hora de forma predeterminada). No hay secretos duraderos en las máquinas de los desarrolladores.
Figura 1: Arquitectura de puerta de enlace de aplicaciones de Claude para AWS
La puerta de enlace maneja cinco responsabilidades principales:
Identidad: la puerta de enlace se conecta a cualquier proveedor de identidad OpenID Connect (OIDC) que cumpla con los estándares. Después de que un desarrollador inicia sesión a través del inicio de sesión único (SSO) del navegador, la puerta de enlace emite un token de corta duración que la CLI utiliza para todas las solicitudes posteriores. Política: usted define la configuración administrada una vez en el servidor. Los clientes reciben la política al iniciar sesión y la puerta de enlace la aplica en cada solicitud. Puede ajustar los modelos permitidos, los permisos de las herramientas y la configuración predeterminada de forma centralizada, en función del grupo de IdP. Telemetría: el cliente marca una métrica de uso para cada solicitud y la puerta de enlace la transmite a través del protocolo OpenTelemetry (OTLP) a un recopilador que usted configure, como Amazon CloudWatch o Amazon Managed Service for Prometheus en su propia cuenta o en una plataforma de terceros. Usted controla dónde va la telemetría y cuánto tiempo se retiene. Enrutamiento: la puerta de enlace contiene sus credenciales ascendentes y enruta las solicitudes de inferencia a Amazon Bedrock o Claude Platform en AWS en nombre de los desarrolladores, con conmutación por error opcional entre regiones de AWS o entre varias cuentas. Límites de gasto: establezca límites de gasto diarios, semanales y mensuales por organización, grupo o usuario. Cuando un desarrollador excede su límite, la puerta de enlace bloquea más solicitudes hasta que el período se restablece o un administrador aumenta el límite.
Cuando se utiliza la puerta de enlace de aplicaciones de Claude con Amazon Bedrock, las solicitudes de inferencia pasan por Amazon Bedrock en las regiones de AWS que configure, manteniendo el mismo manejo de datos y controles de privacidad que cualquier otra carga de trabajo de Amazon Bedrock en su cuenta. Cuando se utiliza la puerta de enlace de aplicaciones de Claude con la plataforma Claude en AWS, Anthropic procesa las solicitudes.
la configuracion
La puerta de enlace lee un único archivo YAML al inicio. Así es como se ve una configuración de producción mínima:
gateway.yaml: la configuración completa para una implementación de Amazon Bedrock
El archivo contiene seis secciones y los secretos permanecen en variables de entorno. Bedrock upstream utiliza la función IAM del contenedor, por lo que no hay credenciales estáticas que administrar. Para enrutar a través de Claude Platform en AWS, reemplace el bloque upstreams:
Los ID de modelo son los mismos que los de la API Anthropic (claude-sonnet-5, claude-opus-4-8). No se necesitan ARN de Amazon Bedrock ni perfiles de inferencia.
La puerta de enlace se ejecuta como un contenedor sin estado en su red privada en Amazon Elastic Container Service (Amazon ECS), Amazon Elastic Kubernetes Service (Amazon EKS) o Amazon Elastic Compute Cloud (Amazon EC2). Lo coloca detrás de un balanceador de carga de aplicaciones interno con un certificado de seguridad de la capa de transporte (TLS) de AWS Certificate Manager. Amazon Relational Database Service (Amazon RDS) para PostgreSQL almacena estados de inicio de sesión de corta duración. Los desarrolladores llegan a la puerta de enlace a través de su red privada, y la puerta de enlace utiliza una función de tarea de IAM para llamar al proveedor ascendente en su nombre.
Inicio de sesión de desarrollador
Una vez implementada la puerta de enlace, los desarrolladores ejecutan claude /login. Los administradores envían un archivo de configuración administrado a las máquinas de los desarrolladores a través de su herramienta de administración de dispositivos que completa previamente la URL de la puerta de enlace, para que los desarrolladores vean la pantalla de la puerta de enlace de aplicaciones de Claude directamente.
La pantalla de inicio de sesión del portal de aplicaciones de Claude en Claude Code
Presionan Enter y se abre un navegador con su SSO corporativo.
Autenticación SSO del navegador a través de su proveedor de identidad
Un inicio de sesión y estarán conectados. La sesión se actualiza silenciosamente en segundo plano mediante tokens de actualización OIDC, de modo que los desarrolladores permanecen autenticados durante los reinicios sin necesidad de iniciar sesión repetidamente en el navegador. Si un usuario es eliminado del IdP, su sesión caduca en la siguiente actualización.
Trabajar con el código Claude
Después de iniciar sesión, los desarrolladores utilizan Claude Code exactamente como lo harían con cualquier otro método de autenticación. Escriben código, ejecutan comandos e interactúan con Claude normalmente. La diferencia es invisible para ellos: cada solicitud se autentica a través de la puerta de enlace, se enruta a través del flujo ascendente configurado y se rige por las políticas que usted establece de forma centralizada.
Claude Code responde a un mensaje, enrutado a través de Amazon Bedrock a través de la puerta de enlace
El selector /model muestra solo los modelos que permite su póliza. Más allá del acceso al modelo, las políticas pueden controlar los permisos de las herramientas, como restringir la escritura de archivos o el acceso web. También pueden hacer cumplir reglas de permisos que los desarrolladores no pueden anular localmente e impulsar variables de entorno o enlaces para estandarizar los flujos de trabajo entre los equipos. El uso se atribuye a la identidad de cada desarrollador y el gasto se rastrea en función de su límite. Si abandonan la empresa, eliminarlos del IdP revocará el acceso dentro de la duración de la sesión configurada.
Conclusión
Con la puerta de enlace de aplicaciones de Claude para AWS, puede ampliar la adopción de Claude Code y Claude Desktop en toda su organización mientras administra la identidad, las políticas y los costos desde un solo lugar. La identidad fluye a través de su IdP existente, la política se aplica de manera centralizada y el costo se atribuye por usuario, sin secretos de larga duración en las máquinas de los desarrolladores.
Debido a que la puerta de enlace es autohospedada, puede implementarla en cualquier región de AWS y enrutar la inferencia a Amazon Bedrock o Claude Platform en AWS, incluidas configuraciones entre regiones y entre cuentas. Elija Amazon Bedrock cuando los datos deban permanecer dentro de los límites de seguridad de AWS, o Claude Platform en AWS para acceder a la experiencia de plataforma nativa de Anthropic con autenticación y facturación de AWS.
Para comenzar, descargue la CLI de Claude Code y revise la documentación del portal de aplicaciones de Claude. Envíe sus comentarios a AWS re:Post para Amazon Bedrock o a través de sus contactos habituales de AWS Support.