Anthropic представила Claude apps gateway — самодеплоируемый контрольный сервер, который даёт организациям единую точку управления доступом, политиками и расходами при использовании Claude Code и Claude Desktop. Шлюз решает проблему, с которой сталкиваются крупные команды: ручное распределение настроек, индивидуальные облачные учётные данные для каждого разработчика и отсутствие централизованного контроля затрат. Gateway поставляется внутри того же бинарного файла Claude Code CLI, который уже используют разработчики, и развёртывается в одном stateless-контейнере на инфраструктуре заказчика с PostgreSQL для хранения короткоживущего состояния сессий.
Шлюз выполняет пять ключевых функций: Identity, Policy, Telemetry, Routing и Spend Caps. Identity подключается к любому OIDC-провайдеру и выдает краткосрочный токен после входа через корпоративный SSO. Policy позволяет централизованно задавать разрешённые модели, права инструментов и настройки по умолчанию, применяя их на каждом запросе. Telemetry передаёт метрики использования через OpenTelemetry Protocol в CloudWatch, Prometheus или сторонние системы — компания сама решает, куда отправлять данные и как долго их хранить. Routing направляет запросы к Amazon Bedrock или Claude Platform на AWS, с возможностью отказоустойчивого переключения между регионами и аккаунтами. Spend Caps ограничивают расходы в день, неделю или месяц на уровне организации, группы или пользователя — при превышении лимита шлюз блокирует запросы до сброса периода или повышения лимита администратором.
| Функция | Описание |
|---|---|
| Identity | Подключение к OIDC-провайдеру, выдача краткосрочных токенов после SSO-входа. |
| Policy | Централизованное определение и применение разрешённых моделей, инструментов и настроек по группам. |
| Telemetry | Сбор метрик использования и передача через OTLP в CloudWatch, Prometheus или сторонние системы. |
| Routing | Направление запросов к Amazon Bedrock или Claude Platform с отказоустойчивостью между регионами. |
| Spend Caps | Установка дневных/недельных/месячных лимитов на пользователя, группу или организацию. |
Для развёртывания используется один YAML-файл конфигурации, в котором указываются upstream-провайдеры, OIDC-настройки и лимиты. Шлюз запускается на Amazon ECS, EKS или EC2 за внутренним балансировщиком с TLS-сертификатом, а для связи с Bedrock используется IAM-роль контейнера без статических ключей. Интерфейс входа — стандартный OIDC-логин через браузер, после чего CLI получает токен для всех последующих запросов. При отзыве доступа в IdP сессия завершается в течение часа (настраиваемо). Таким образом, на машинах разработчиков не хранятся долгоживущие секреты, а администрирование сводится к управлению группами в корпоративном identity-провайдере.
Исполняет политики (модели, разрешения инструментов) на уровне сервера, применяя их при каждом запросе.



