search
Actualités – Google Cloud et Anthropic lancent Claude apps gateway pour sécuriser le déploiement de l’IA en entreprise

Google Cloud et Anthropic lancent Claude apps gateway pour sécuriser le déploiement de l’IA en entreprise

Google Cloud et Anthropic ont publié Claude apps gateway, un service auto-hébergé qui s’intercale entre les clients locaux Claude Code et Google Cloud. Il offre aux équipes IT un point de contrôle centralisé pour gérer l’identité, les politiques, les coûts et le routage des développeurs qui utilisent Claude Code à l’échelle de l’organisation.

Pourquoi une passerelle plutôt que des identifiants individuels ?

Connecter une instance isolée de Claude Code à Google Cloud est simple : il suffit de définir CLAUDE_CODE_USE_VERTEX=1 et d’attribuer le rôle roles/aiplatform.user pour que l’inférence reste strictement dans le périmètre GCP. Mais déployer cette configuration à l’échelle de toute une équipe d’ingénierie est complexe. Cela implique de gérer les accès cloud de chaque développeur, de pousser le fichier managed-settings.json via un MDM, le tout sans aucune visibilité sur l’utilisation réelle ni aucun plafond de dépenses.

La passerelle a été conçue pour résoudre ce problème. Exécutée comme un conteneur stateless sur Cloud Run, elle apporte :

  • Contrôle de l’identité : Les connexions transitent par Google Workspace ou tout fournisseur OIDC, échangeant le token contre une session à courte durée de vie. Aucune clé API ni identifiant de compte de service ne réside sur le poste du développeur.
  • Politiques côté serveur : Les règles RBAC sont centralisées dans gateway.yaml et revérifiées à chaque appel /v1/messages. Une modification locale de la configuration n’a donc aucun effet.
  • Télémétrie attribuée : Les métriques d’utilisation intègrent l’e-mail vérifié et le groupe via un token de session signé. Elles sont envoyées via OTLP directement vers la stack de monitoring existante de l’équipe.
  • Plafonds de dépenses : Fixez des limites quotidiennes, hebdomadaires ou mensuelles par utilisateur, groupe ou organisation. Celles-ci sont appliquées via un registre Cloud SQL, qui renvoie une erreur 429 dès que le plafond est atteint.
  • Routage géré : Tous les appels sortent sous l’identité unique du service Cloud Run, avec un basculement (failover) automatique entre les fournisseurs en cas d’erreur 5xx, 429 ou de dépassement de délai.

La configuration complète — de la préparation de l’infrastructure GCP à l’écriture du fichier gateway.yaml, jusqu’au déploiement sur Cloud Run ou GKE — est détaillée dans la documentation officielle de Claude apps gateway.

« Le problème n'a jamais été de savoir si l'inférence restait dans le périmètre GCP. Le vrai défi était l'impossibilité d'identifier quel développeur déclenchait quel appel, ou d'empêcher une session incontrôlée d'exploser le budget. Regrouper l'identité, les politiques et les limites de dépenses derrière un seul service Cloud Run correspond exactement au niveau de contrôle que les équipes de sécurité nous demandent. »
Maksym Shapoval Directeur de l’architecture de sécurité, Cloudfresh

Comment Cloudfresh vous accompagne

En tant que Partenaire Google Cloud de niveau Premier, Cloudfresh aide les équipes d’ingénierie et de sécurité à provisionner, configurer et déployer des services tels que Claude apps gateway directement sur leur infrastructure GCP. Nous couvrons tout le spectre : de l’intégration IdP à la conception des politiques RBAC, en passant par la gouvernance continue des coûts.

Vous souhaitez planifier le déploiement de Claude Code sur Google Cloud ? Parlons-en →