Claude apps gateway para AWS: control centralizado de acceso, políticas y gasto
Anthropic presenta Claude apps gateway para AWS, un plano de control autoalojado que centraliza autenticación, políticas, telemetría y límites de gasto para equipos que usan Claude Code y Claude Desktop. Se integra con Amazon Bedrock o con Claude Platform on AWS para mantener datos dentro de la frontera de seguridad de AWS.
Resumen ejecutivo
Las empresas que despliegan Claude Code y Claude Desktop en equipos de desarrollo suelen enfrentar retos de gobernanza: credenciales dispersas por desarrollador, configuración manual en cada equipo y dificultad para monitorear o limitar gasto. Claude apps gateway para AWS llega como un plano de control self-hosted que centraliza acceso, costo y políticas para estas herramientas. Está pensado para correr dentro de su infraestructura AWS y puede integrarse con Amazon Bedrock o con Claude Platform on AWS según las necesidades de gestión de datos y plataforma.
¿Qué es Claude apps gateway? Visión general
Claude apps gateway es un servicio entregado por Anthropic dentro del mismo binario de la CLI de Claude Code que ya usan los desarrolladores. Funciona como un punto único de control que se despliega como un contenedor sin estado en la red privada de la organización, respaldado por una base de datos PostgreSQL (por ejemplo, Amazon RDS) que almacena estados de inicio de sesión de corta duración y contadores de rate-limit.
Al integrarse estrechamente con el cliente, el flujo de inicio de sesión (/login) es consciente del gateway: la CLI aplica configuraciones gestionadas al autenticarse y cada petición pasa por políticas centralizadas. Esto elimina la necesidad de provisionar credenciales estáticas o repartir secretos de larga duración en máquinas de desarrollo.
Responsabilidades principales del gateway
El gateway centraliza cinco funciones clave:
-
Identidad: se conecta a cualquier proveedor de identidad compatible con OpenID Connect (OIDC). Después de la autenticación por SSO en el navegador, el gateway emite un token de corta duración que la CLI usa para las solicitudes posteriores. No se mantienen secretos persistentes en los equipos de los desarrolladores.
-
Políticas: las configuraciones gestionadas se definen una vez en el servidor y se entregan al cliente durante el inicio de sesión. El gateway aplica esas políticas en cada petición. Estas políticas pueden controlar modelos permitidos, permisos de herramientas y ajustes predeterminados, y pueden aplicarse por grupos del proveedor de identidad.
-
Telemetría: cada petición incluye una métrica de uso que el gateway reenvía mediante OpenTelemetry Protocol (OTLP) a un colector configurado por la organización. Ejemplos de destinos compatibles incluyen Amazon CloudWatch o Amazon Managed Service for Prometheus en la cuenta propia, o plataformas de terceros. Ustedes deciden dónde almacenar y por cuánto tiempo retener los datos.
-
Enrutamiento: el gateway mantiene la credencial upstream y enruta las solicitudes de inferencia hacia Amazon Bedrock o hacia Claude Platform on AWS en nombre de los desarrolladores. Soporta opciones de failover entre regiones AWS o entre cuentas.
-
Límites de gasto: es posible establecer topes diarios, semanales o mensuales por organización, grupo o usuario. Si un desarrollador excede su límite, el gateway bloquea más solicitudes hasta que el periodo se reinicie o un administrador aumente el tope.
Integración con Amazon Bedrock y Claude Platform on AWS
Cuando se usa con Amazon Bedrock, las solicitudes de inferencia pasan por Bedrock en las regiones AWS configuradas, respetando los controles de manejo de datos y privacidad aplicables a otros workloads de Bedrock en su cuenta. Alternativamente, si se opta por Claude Platform on AWS, las solicitudes son procesadas por Anthropic pero conservan las mismas capacidades de control que ofrece el gateway.
Los IDs de modelo son los mismos del API de Anthropic, por ejemplo claude-sonnet-5 y claude-opus-4-8; no se requiere ARN de Bedrock ni perfiles de inferencia específicos en la configuración.
Despliegue y componentes técnicos
El gateway se ejecuta como un contenedor sin estado dentro de su red privada y puede correr sobre Amazon ECS, Amazon EKS o EC2. La recomendación es colocarlo detrás de un Application Load Balancer interno y proteger la comunicación con un certificado TLS emitido por AWS Certificate Manager. Amazon RDS para PostgreSQL almacena los estados de sesión de corta duración.
La comunicación saliente hacia el upstream (Bedrock o Claude Platform) la realiza el gateway con un rol de IAM asignado a la tarea o al contenedor, eliminando la necesidad de credenciales estáticas en archivos de configuración.
Configuración: gateway.yaml
El gateway lee una sola configuración YAML al inicio (gateway.yaml). Este archivo contiene seis secciones principales y las credenciales sensibles se mantienen en variables de entorno. Para un despliegue con Bedrock, el upstream utiliza la cadena de credenciales por defecto del contenedor (el rol IAM asignado). Si prefieren enrutar a Claude Platform on AWS, se reemplaza el bloque upstream para apuntar al proveedor de Anthropic en la región deseada.
Ejemplo de modelos disponibles en la configuración: claude-sonnet-5, claude-opus-4-8. La configuración mínima de producción se gestiona desde ese único archivo y desde variables de entorno para secretos.
Flujo de inicio de sesión y gestión de usuarios
Una vez desplegado el gateway, los desarrolladores ejecutan claude /login. Los administradores pueden distribuir un archivo de ajustes gestionados a través de la herramienta de administración de dispositivos para prellenar la URL del gateway, de modo que al iniciar la CLI se muestre directamente la pantalla del gateway.
Al confirmar, se abre el navegador para realizar SSO con el proveedor de identidad corporativo. Tras la autenticación, el gateway emite un token de corta vida (por defecto la vida del token es de una hora) que la CLI usa para autenticarse en las siguientes solicitudes. El refresco de sesión ocurre en segundo plano usando tokens OIDC, por lo que los desarrolladores permanecen autenticados entre reinicios sin necesidad de reingresar.
La incorporación y baja de usuarios siguen los flujos existentes de identidad: para otorgar acceso se agrega el desarrollador al IdP; para revocar el acceso se lo elimina y su sesión caduca en el siguiente ciclo de refresh.
Operación y gobernanza para equipos en América Latina
Para organizaciones en América Latina que requieren mantener datos dentro de su entorno AWS por motivos regulatorios o de cumplimiento, desplegar el gateway a través de Amazon Bedrock permite mantener el procesamiento dentro de la frontera de seguridad de AWS. Además, la capacidad de enviar telemetría a servicios en la propia cuenta facilita la integración con prácticas locales de monitoreo y auditoría.
El modelo de control centralizado reduce la complejidad operativa: no es necesario gestionar credenciales por desarrollador, ni empujar políticas manualmente a cada laptop, ni montar herramientas separadas para controlar gasto. Esto simplifica la gobernanza y permite aplicar controles coherentes entre equipos distribuidos.
Conclusión
Claude apps gateway para AWS ofrece a las empresas un punto único de control para gestionar acceso, políticas, telemetría, enrutamiento y gasto cuando adoptan Claude Code y Claude Desktop. Al poder desplegarse dentro de la infraestructura AWS y conectarse a su IdP, proporciona un camino para escalar el uso de modelos de Anthropic con controles empresariales, reduciendo la superficie de secretos en los equipos y centralizando la observabilidad y gobernanza.
Si están evaluando cómo llevar capacidades de lenguaje avanzado a sus equipos de desarrollo sin perder control operativo, este gateway es una alternativa para considerar dentro de arquitecturas basadas en AWS.
Fuente original: AWS ML Blog