# 获取 Compliance API 访问权限
为您的组织请求 Compliance API 访问权限,然后创建 Compliance Access Key(带权限范围)或 Admin API key,并了解如何选择。
---
Compliance API 需申请开通。Claude Enterprise 组织可访问完整 API;Claude Console 组织仅可访问[活动动态](/docs/en/manage-claude/compliance-activity-feed)。本页介绍如何申请访问权限和创建 API 密钥。
**所需角色:** 组织管理员(Claude Console)或主要所有者(claude.ai)。
Compliance API 使用两种密钥类型,您创建哪种取决于组织使用的是哪个 Claude 产品。主要所有者在 claude.ai 中创建 Compliance Access Key;这些密钥可解锁完整的 Compliance API。组织管理员在 Claude Console 中创建 Admin API key;这些密钥仅可解锁[活动动态](/docs/en/manage-claude/compliance-activity-feed)。
## 您需要哪种密钥?
| 密钥类型 | 创建位置 | 用途 | 是否适用于 Compliance API? |
| ---------------------------------------------- | --------------------------------------- | -------------------------------------------------------------------------------------------------------------- | ---------------------------- |
| **Compliance Access Key** (`sk-ant-api01-...`) | [claude.ai > 组织设置 > 数据和隐私](https://claude.ai/admin-settings/data-privacy-controls) | 活动动态、聊天、文件、项目、用户和组织元数据 | 是(所有端点) |
| **Admin API key** (`sk-ant-admin01-...`) | [Claude Console > 设置 > Admin keys](https://platform.claude.com/settings/admin-keys) | [Admin API](/docs/en/manage-claude/admin-api) 和 Compliance API 活动动态 | 仅活动动态 |
| **Analytics API key** | [claude.ai > 分析 > API keys](https://claude.ai/analytics/api-keys) | [Claude Enterprise Analytics API](https://support.claude.com/en/articles/13694757-claude-enterprise-analytics-api-access-engagement-and-adoption-data) | 否 |
| **Claude API key** (`sk-ant-api03-...`) | [Claude Console > 设置 > API keys](https://platform.claude.com/settings/keys) | 通过 [Claude API](/docs/en/api/overview) 调用 Claude 模型 | 否 |
一个 Claude Enterprise 租户有一个**父组织**,为下属所有工作负载组织集中管理身份、SSO 和 SCIM。这些工作负载组织是父组织的**关联组织**。
**Claude Enterprise 父组织不会出现在 Claude Console(`platform.claude.com`)中。** 父组织不承载工作负载、没有 Claude API 密钥,也没有 Admin API key。请在 claude.ai 的**组织设置**中创建 Compliance Access Key,而不是在 Claude Console 中。
## 申请 Compliance API 访问权限
请联系您的 Anthropic 代表申请访问权限。开通在父组织级别进行,并级联到每个关联组织,包括 claude.ai 和 Claude Console。开通后的变化取决于组织使用的 Claude 产品。
### 开通后:claude.ai 组织
Anthropic 为您的父组织开通 Compliance API 后,[claude.ai > 组织设置 > 数据和隐私](https://claude.ai/admin-settings/data-privacy-controls)中会出现 **Compliance access keys** 部分。主要所有者随后可以[创建 Compliance Access Key](#创建-compliance-access-key)。
### 开通后:Claude Console 组织
Anthropic 为您的父组织开通 Compliance API 后,此后创建的 Admin API key 将具有 `read:compliance_activities` 权限范围。在开通之前创建的 Admin API key 仍可用于 Admin API,但使用它调用活动动态会返回 [403 Forbidden](/docs/en/manage-claude/compliance-errors#403-forbidden);请[创建新的 Admin API key](#创建-admin-api-key) 以获取该权限范围。
## 创建 Compliance Access Key
必须先为您的 claude.ai 父组织[开通 Compliance API](#申请-compliance-api-访问权限),然后才能创建 Compliance Access Key。
具有 `read:compliance_user_data` 权限的 Compliance Access Key 可以读取每个关联组织中的每条聊天、文件和项目,包括主要所有者未查看过的内容。具有 `delete:compliance_user_data` 权限的密钥可以永久删除这些内容。请将 Compliance Access Key 视为生产数据库凭据:将它们存储在密钥管理器中,切勿存储在源代码管理或 SIEM 转发器配置中。
只有父组织的主要所有者才能创建 Compliance Access Key。如果下一步中描述的 **Compliance access keys** 部分不可见,说明您不是主要所有者,或者您的组织尚未开通 Compliance API(请参阅[申请 Compliance API 访问权限](#申请-compliance-api-访问权限))。
前往 [claude.ai > 组织设置 > 数据和隐私](https://claude.ai/admin-settings/data-privacy-controls),找到 **Compliance access keys** 部分。
点击 **Create key**,为密钥命名,然后从下表中选择一个或多个权限范围。点击 **Create**。
| 权限范围 | 授权内容 |
| ------------------------------ | --------------------------------------------------------------------------- |
| `read:compliance_activities` | 读取父组织和所有关联组织的活动动态 |
| `read:compliance_user_data` | 读取用户聊天、消息、文件、项目、组织用户和群组成员 |
| `delete:compliance_user_data` | 删除用户聊天、文件和项目 |
| `read:compliance_org_data` | 读取组织元数据(名称、类型、角色和群组)。用户列表和群组成员关系需要 `read:compliance_user_data`。 |
选择您的集成所需的最小权限范围集:
- 仅读取活动动态的审计管道只需 `read:compliance_activities`。
- 读取聊天和文件但从不删除的电子发现工具不需要 `delete:compliance_user_data`。
- 如果您的工作流既需要读取又需要删除,请使用**两个密钥**分别设置不同权限范围,这样泄露的读取密钥无法删除数据。
Compliance Access Key 的权限范围在创建后不可更改。要更改权限范围,请使用所需权限范围创建新密钥,然后删除旧密钥。
复制显示的密钥(以 `sk-ant-api01-` 开头)并将其存储在密钥管理器中。完整密钥仅显示一次。
将密钥设置为环境变量,以便本指南中的 shell 示例可以读取它:
```bash
export ANTHROPIC_COMPLIANCE_ACCESS_KEY=sk-ant-api01-...
```
## 创建 Admin API key
必须先为您的 Claude Console 组织[开通 Compliance API](#申请-compliance-api-访问权限),然后 Admin API key 才能调用活动动态。
只有具有 **admin** 角色的组织成员才能创建 Admin API key。请参阅[组织角色和权限](/docs/en/manage-claude/admin-api#organization-roles-and-permissions)了解完整角色列表。
前往 [Claude Console > 设置 > Admin keys](https://platform.claude.com/settings/admin-keys)。
点击 **Create key**,为密钥命名,然后点击 **Create**。
复制显示的密钥(以 `sk-ant-admin01-` 开头)并将其存储在密钥管理器中。完整密钥仅显示一次。
将密钥设置为环境变量:
```bash
export ANTHROPIC_ADMIN_KEY=sk-ant-admin01-...
```
使用不同的变量名可以防止 Admin API key 覆盖 Compliance Access Key(如果您同时配置了两者)。本指南中的 cURL 示例从 `$ANTHROPIC_COMPLIANCE_ACCESS_KEY` 读取密钥;使用 Admin API key 调用[活动动态](/docs/en/manage-claude/compliance-activity-feed)时,请替换为 `$ANTHROPIC_ADMIN_KEY`。
Admin API key 仅在 Compliance API 在密钥创建之前已为组织开通时才具有 `read:compliance_activities` 权限范围;请参阅[开通后:Claude Console 组织](#开通后-claude-console-组织)。它们无法被授予任何其他 Compliance API 权限范围,因此对活动动态以外的任何端点的调用都会返回 [403 Forbidden](/docs/en/manage-claude/compliance-errors#403-forbidden)。
关于同一密钥在管理 Claude Console 组织中的作用,请参阅 [Admin API](/docs/en/manage-claude/admin-api)。
## 检查密钥的权限范围
要检查已拥有密钥的权限范围,请使用以下方法之一。
- **密钥前缀。** `sk-ant-admin01-` 是 Admin API key(仅具有 `read:compliance_activities`,取决于前文所述的开通时间)。`sk-ant-api01-` 是 Compliance Access Key;其权限范围是您在创建时选择的子集。
- **设置界面。** 打开 [claude.ai > 组织设置 > 数据和隐私](https://claude.ai/admin-settings/data-privacy-controls)中的 **Compliance access keys** 部分,或 [Claude Console > 设置 > Admin keys](https://platform.claude.com/settings/admin-keys) 中的 **Admin keys** 部分,查看密钥的 **Scopes** 列。
- **错误响应。** 超出密钥权限范围的调用会返回 403,消息格式为 `Missing required scopes. Got: [<密钥具有的权限范围>] Needed: [<端点所需的权限范围>]`。请参阅[处理 Compliance API 错误](/docs/en/manage-claude/compliance-errors#403-forbidden)了解完整的错误目录。
```json
{
"error": {
"type": "permission_error",
"message": "Missing required scopes. Got: ['read:compliance_activities'] Needed: ['read:compliance_user_data']"
}
}
```
## 管理和轮换密钥
在创建 Compliance Access Key 的同一 **Compliance access keys** 面板中删除它:前往 [claude.ai > 组织设置 > 数据和隐私](https://claude.ai/admin-settings/data-privacy-controls)。在 [Claude Console > 设置 > Admin keys](https://platform.claude.com/settings/admin-keys) 中删除 Admin API key。
删除密钥在下一次请求时立即生效:没有宽限期。Compliance Access Key 不会自动过期。
要在不中断服务的情况下轮换密钥:
1. 创建具有相同权限范围的新密钥。
2. 更新您的集成以使用新密钥。
3. 验证集成使用新密钥是否成功。
4. 删除旧密钥。
轮换前存储的分页游标仍然有效:游标的作用域是组织而非密钥。
如果 Compliance Access Key 泄露,请立即删除它,审计[活动动态](/docs/en/manage-claude/compliance-activity-feed)中由受损密钥执行的 `compliance_api_accessed` 活动,并轮换泄露密钥可能访问的任何下游凭据。传入 `activity_types[]=compliance_api_accessed` 来限定查询范围,然后在客户端中筛选 `actor.type` 为 `api_actor` 且 `actor.api_key_id` 匹配受损密钥的活动;请参阅[理解 Activity 对象](/docs/en/manage-claude/compliance-activity-feed#understand-the-activity-object)了解 actor 架构。
## 后续步骤
使用任何具有 `read:compliance_activities` 权限的密钥读取组织范围的活动事件。
使用具有 `read:compliance_user_data` 权限的 Compliance Access Key 检索 claude.ai 内容,使用 `delete:compliance_user_data` 删除内容。