핵심 요약
Claude Platform에 정적 API 키 없이 인증하는 **Workload Identity Federation(WIF)**이 일반 가용성(GA)에 도달했습니다. 페더레이션(federation)은 워크로드가 이미 가진 외부 신원(예: AWS IAM 역할, GitHub Actions 토큰)을 Claude Platform이 신뢰하도록 연결해, 별도의 키 없이 그 신원만으로 인증하게 하는 방식입니다. 워크로드가 자체 OIDC 호환 자격 증명을 제시하면, Claude Platform이 이를 검증한 뒤 요청 시점에 발급되는 단기, 스코프 제한 토큰을 내줍니다. 정적 Anthropic 자격 증명을 직접 다룰 필요가 없어집니다.
주요 기능
-
정적 API 키 제거 — 단기 자격 증명으로 대체
정적 API 키는 생성, 순환, 관리가 필요하고 유출 위험을 안고 있었습니다. WIF는 정적 Anthropic 자격 증명을 다룰 필요 자체를 없애고, 요청 시점에 발급되는 단기, 스코프 제한 토큰으로 인증합니다.
-
OIDC 기반 페더레이션 — 외부 ID를 서비스 계정에 바인딩
페더레이션 규칙이 외부 ID를 서비스 계정에 연결합니다. 워크로드가 접근을 요청하면 Claude Platform이 서명된 OIDC 토큰을 검증하고, 토큰 클레임을 페더레이션 규칙과 대조한 뒤, 서비스 계정의 역할로 범위가 제한된 단기 액세스 토큰을 발급합니다. 모든 교환과 요청은 감사 로그에 기록됩니다.
-
폭넓은 ID 공급자 호환
AWS IAM roles, GCP service accounts, Kubernetes service accounts, Azure managed identities, GitHub Actions tokens, Okta를 포함한 모든 OIDC 호환 ID 공급자와 연동됩니다.
-
서비스 계정 — 공유 키 대신 개별 ID와 감사 추적
공유 API 키 하나로 여러 워크로드가 접근하던 방식에서, 각 워크로드가 자체 ID, 역할, 감사 추적을 갖는 서비스 계정으로 분리됩니다.
-
모든 Claude API 엔드포인트 적용
WIF는 모든 Claude API 엔드포인트를 포괄하며, first-party SDK와 Claude Code를 통한 접근에도 적용됩니다.
알아두면 좋은 점
- 점진적 마이그레이션 지원 — 기존 API 키는 WIF와 함께 동작하므로, 한 번에 전환하지 않고 단계적으로 이전할 수 있습니다.
- Claude Console 가이드 설정 — Claude Console에서 검증, 테스트 기능이 포함된 가이드 설정 흐름을 제공해 페더레이션 규칙 구성을 돕습니다.
- 감사 로그 기록 — 모든 토큰 교환과 요청이 감사 로그에 남아, 어떤 ID가 언제 접근했는지 추적할 수 있습니다.