search
Aktualności – Google Cloud i Anthropic wdrażają Claude Apps Gateway dla bezpiecznego korzystania z AI w przedsiębiorstwach

Google Cloud i Anthropic wdrażają Claude Apps Gateway dla bezpiecznego korzystania z AI w przedsiębiorstwach

Google Cloud i Anthropic udostępniły Claude apps gateway — hostowaną samodzielnie usługę, która pośredniczy między lokalnymi klientami Claude Code a Google Cloud. Zapewnia ona zespołom IT jeden punkt kontroli nad tożsamością, zasadami bezpieczeństwa, kosztami i routingiem dla programistów korzystających z Claude Code w całej organizacji.

Dlaczego bramka, a nie po prostu poświadczenia dla każdego programisty?

Skierowanie pojedynczej instancji Claude Code do Google Cloud jest proste: wystarczy ustawić CLAUDE_CODE_USE_VERTEX=1, nadać rolę roles/aiplatform.user, a inferencja pozostanie wewnątrz perymetru GCP. Wdrożenie tego w całej organizacji inżynieryjnej jest jednak trudniejsze — oznacza to zarządzanie poświadczeniami chmurowymi każdego dewelopera, wypychanie pliku managed-settings.json przez systemy MDM oraz brak możliwości przypisania zużycia zasobów czy ustawienia limitów wydatków.

Bramka powstała właśnie po to, aby zamknąć tę lukę. Działa jako bezstanowy kontener w usłudze Cloud Run i wprowadza:

  • Kontrolę tożsamości — logowanie odbywa się przez Google Workspace lub dowolnego dostawcę OIDC, wymieniając token na krótkotrwałą sesję. Dzięki temu żadne klucze API ani poświadczenia kont usługowych nie trafiają na laptopy programistów.
  • Zasady po stronie serwera — reguły RBAC są zapisane w jednym miejscu w pliku gateway.yaml i weryfikowane przy każdym wywołaniu /v1/messages, więc lokalna edycja konfiguracji nic nie zmieni.
  • Precyzyjną telemetrię — metryki użytkowania zawierają zweryfikowany adres e-mail oraz grupę z podpisanego tokenu sesji, przesyłane przez OTLP do dowolnego stosu monitorowania, z którego korzysta już zespół.
  • Limity wydatków — dzienne, tygodniowe lub miesięczne limity na użytkownika, grupę lub organizację, egzekwowane w oparciu o bazę Cloud SQL, która po osiągnięciu limitu zwraca kod błędu 429.
  • Zarządzanie routingiem — wszystkie wywołania są realizowane w ramach jednej tożsamości usługi Cloud Run, z obsługą awaryjną (failover) między usługami nadrzędnymi w przypadku błędów 5xx, 429 lub przekroczenia czasu oczekiwania.

Pełna konfiguracja — obejmująca przygotowanie fundamentów GCP, zapisanie pliku gateway.yaml i wdrożenie w usłudze Cloud Run lub GKE — została opisana w dokumentacji referencyjnej Claude apps gateway.

„Problemem nigdy nie było to, czy inferencja pozostaje wewnątrz perymetru GCP — chodziło o to, że nikt nie był w stanie wskazać, który programista wywołał konkretne zapytanie, ani zatrzymać jednej zapętlonej sesji przed przepaleniem całego budżetu. Umieszczenie kontroli tożsamości, zasad bezpieczeństwa i limitów wydatków za pojedynczą usługą Cloud Run to dokładnie taki poziom kontroli, o jaki proszą nas zespoły ds. bezpieczeństwa w przedsiębiorstwach.”
Maksym Shapoval Director of Security Architecture w Cloudfresh

Jak pomaga Cloudfresh

Jako Google Cloud Premier Partner, Cloudfresh pomaga zespołom inżynieryjnym i ds. bezpieczeństwa przygotować, skonfigurować i wdrożyć usługi takie jak Claude apps gateway na własnej infrastrukturze GCP — od integracji z dostawcą tożsamości (IdP) po projektowanie zasad RBAC i bieżące zarządzanie kosztami.

Chcesz zaplanować wdrożenie Claude Code w Google Cloud? Rozmawiajmy →
Zapisz się do newslettera