今天，我们推出面向 Amazon Bedrock 和 Google Cloud 的 Claude 应用网关。此前，在这些平台上运行 Claude Code 需要为每位开发者配置一个云凭证，将设置手动推送到每台笔记本电脑，并搭建单独的工具来查看每位开发者的支出。该网关是一个自托管控制平面，为您提供企业级 SSO 登录、集中强制执行的策略、基于角色的访问权限，以及 Claude Code 的按用户成本归属。

部署网关

该网关作为一个无状态单容器运行，部署在 Linux 上，并由 PostgreSQL 数据库提供支持。它持有您的上游凭证，通过您的身份提供者验证开发者身份，分发并强制执行托管设置，并将每个用户的使用情况报告给您运营的收集器。开发者入职只需将其添加到您的身份提供者（IdP）中。离职则是将其移除。

该网关由 Anthropic 构建并打包在开发者已安装的同一 claude 二进制文件中，因此您可以将其作为基础设施中的一个无状态容器运行。由于网关和客户端是共同构建的，/login 流程能够识别网关，客户端在登录时会自动应用托管设置，并且每次请求都会一致地强制执行策略。

网关工作原理

网关负责：

• 身份认证。它作为 OpenID Connect（OIDC）依赖方，对接 Google Workspace、Microsoft Entra ID、Okta 或任何符合标准的 OIDC 提供者，并颁发短期会话。开发者机器上不会存储长期密钥。
• 策略。您可以在服务器上一次性定义托管设置，客户端在登录时接收策略，网关在每次请求时强制执行该策略。您可以在中央层面调整允许的模型和默认设置。
• 遥测。客户端为每次请求标记一条使用指标，网关通过 OTLP 将其转发给您配置的收集器——该收集器位于您的网络内，并按您的保留计划运行。
• 路由。网关负责保存你的上游凭证，并将推理请求路由至 Claude API、Amazon Bedrock 或 Google Cloud，同时支持在提供商之间进行可选的故障转移。
• 消费上限。网关允许你设置每日、每周和每月的消费限额，并可针对组织、团队或单个用户分别设定。

除非你将其配置为使用 Claude API，否则网关不会将推理流量或使用数据发送给 Anthropic。此外，我们还将开源网关所使用的协议，以便其他网关开发者也能实现相同的功能。

开始使用

该网关现已可用。开始步骤如下：

• 部署网关：下载 Claude Code CLI 二进制文件，将 gateway.yaml 指向你的 OIDC 发行商和上游凭证，并在你的身份提供者（IdP）中注册一个 OIDC 应用。
• 逐步推广：在客户端机器的 managed-settings.json 中配置 forceLoginMethod 和 forceLoginGatewayUrl 参数。客户端在首次启动时会自动连接到你的网关。

查看文档以了解更多信息。

用 Claude 改变组织的运作方式