AWS 與 Anthropic 於 7 月 8 日共同發布適用於 AWS 環境的 Claude apps gateway,這是一套可自行架設(self-hosted)的控制平面(control plane),讓企業能透過單一入口,集中管理旗下開發團隊使用 Claude Code 與 Claude Desktop 時的身分驗證、存取政策、遙測資料與支出上限。此次公告是 Anthropic 稍早針對 Amazon Bedrock 與 Google Cloud 推出同一套閘道器之後的延伸部署指南,Google Cloud 也同步釋出在 Cloud Run 上的部署教學,三方至此都已針對同一套控制平面提供官方部署指引。
取代逐一配發憑證的舊模式
在此之前,企業導入 Claude Code 若要擴大到整個工程團隊,必須為每位開發者個別配發雲端憑證,並手動將受管理設定(managed settings)分發到每台裝置,同時財務單位也難以掌握誰用了多少額度。Claude apps gateway 的設計目的,就是把這些原本分散的治理工作,收斂到單一控制點。
閘道器內建於開發者已經在使用的 Claude Code 命令列介面(CLI)執行檔中,不需要額外安裝新工具。它本身以無狀態服務(stateless service)的形式運作,可部署在 Amazon ECS、Amazon EKS 或 Amazon EC2 上,並以 PostgreSQL 資料庫儲存短效登入狀態與速率限制計數。受管理設定會在開發者登入時自動套用,政策則對每一次請求強制執行。
帳號生命週期管理則直接沿用企業既有的身分識別流程:要授權開發者,只需將其加入身分識別提供者(Identity Provider,IdP);要撤銷權限,移除帳號後其工作階段會在令牌存活期(預設一小時)內到期,開發者裝置上也不會留存任何長效機密(long-lived secret),不需額外進行憑證輪替。
五項核心功能
閘道器提供五項核心功能。
- 身分識別方面,透過 OpenID Connect(OIDC)與企業既有身分識別提供者串接,開發者以瀏覽器完成單一登入(SSO)後,閘道器會核發短效令牌供後續請求使用。
- 政策管理方面,管理員可依用戶群組,集中設定可用模型、工具使用許可與其他預設值,且開發者無法自行覆寫。
- 遙測方面,每次請求都會透過 OpenTelemetry 通訊協定(OTLP),將權杖用量、模型名稱、使用者身分與延遲等指標,送往企業自行設定的監控平台,例如 Amazon CloudWatch 或第三方系統。
- 路由方面,閘道器持有上游憑證,代替開發者將推論請求導向 Amazon Bedrock 或部署於 AWS 上的 Claude Platform,並支援跨區域、跨帳號的容錯移轉。
- 費用控管方面,企業可針對組織、群組或個別用戶設定每日、每週、每月的支出上限,一旦超過即封鎖後續請求,直到額度重置或由管理員調整。
分析師觀點:存取與成本控制權正在轉移
研究機構 Futurum Group 副總裁暨軟體生命週期工程暨 AI 原生軟體工程業務負責人 Mitch Ashley 對此評論指出,企業身分識別、政策、成本歸因與支出上限,如今已成為 Claude Code 原生內建的基礎設施功能,
這代表模型供應商正在收回過去由第三方閘道器或企業自建工具掌握的存取與成本控管層。他也提出後續值得觀察的問題:對平台團隊而言,真正的關鍵在於未來要仰賴各家供應商各自的閘道器,還是尋求一個能統一治理多模型環境的中立控制點。
對企業導入的意義
對正在或計劃導入 Claude Code、Claude Desktop 的企業而言,這套閘道器讓資安與 IT 團隊不必再為每位新進開發者手動核發憑證與設定,離職或轉調時的權限回收也能直接透過既有 IdP 流程完成,降低憑證外洩與長效機密遺留裝置的風險。選擇透過 Amazon Bedrock 路由時,推論請求會留在企業設定的 AWS 帳號安全邊界內,資料處理方式與該帳號下其他 Bedrock 工作負載一致;若企業希望使用 Anthropic 原生平台體驗,則可改走部署於 AWS 上的 Claude Platform,並沿用既有的 AWS 身分驗證與計費機制。企業可依資料留存與治理需求,在兩種部署模式之間選擇。