👋 Hi! Bạn cần tư vấn gì về dịch vụ AWS?

Khi triển khai Claude Code và Claude Desktop cho các nhóm lập trình viên, doanh nghiệp cần một cơ chế kiểm soát tập trung về quyền truy cập, chi phí và chính sách. Ở quy mô lớn, việc này trở nên phức tạp: mỗi lập trình viên cần một chứng thực riêng, các cài đặt phải được phân phối thủ công, và việc theo dõi hay giới hạn chi tiêu rất khó khăn. Nếu không có một điểm kiểm soát trung tâm, việc quản trị sẽ phụ thuộc vào các công cụ riêng lẻ mà mỗi nhóm tự triển khai.

Vào ngày 08/07/2026, AWS và Anthropic đã công bố Claude apps gateway for AWS, một control plane tự quản lý (self-hosted) cho phép các tổ chức có một điểm kiểm soát duy nhất về quyền truy cập, chi phí và chính sách cho Claude Code và Claude Desktop. Giải pháp này thay thế cho việc phải cấp chứng thực đám mây riêng cho từng lập trình viên, đẩy cài đặt thủ công đến từng máy tính, hay thiết lập các công cụ riêng biệt để theo dõi chi tiêu. Doanh nghiệp có thể triển khai gateway này thông qua Amazon Bedrock để giữ dữ liệu trong vành đai bảo mật của AWS, hoặc qua Claude Platform trên AWS để có trải nghiệm gốc của nền tảng Claude.

Tổng quan về Claude apps gateway for AWS

Bài viết này sẽ hướng dẫn cách thiết lập và vận hành Claude apps gateway for AWS với Amazon Bedrock và Claude Platform trên AWS.

Claude apps gateway hoạt động như thế nào?

Gateway được Anthropic cung cấp bên trong tệp nhị phân của Claude Code CLI mà các lập trình viên đã sử dụng. Doanh nghiệp có thể chạy nó trong một container stateless duy nhất trên hạ tầng của mình, được hỗ trợ bởi cơ sở dữ liệu PostgreSQL để lưu trữ trạng thái đăng nhập ngắn hạn và bộ đếm giới hạn tỷ lệ truy cập. Vì gateway và client được xây dựng cùng nhau, luồng đăng nhập /login có khả năng nhận biết gateway. Client sẽ tự động áp dụng các cài đặt được quản lý khi đăng nhập và chính sách được thực thi nhất quán trên mọi yêu cầu.

Quy trình thêm và xóa người dùng (onboarding/offboarding) tuân theo các luồng quản lý danh tính hiện có của doanh nghiệp. Để cấp quyền truy cập, chỉ cần thêm một lập trình viên vào nhà cung cấp danh tính (IdP). Để thu hồi, hãy xóa họ khỏi IdP, và phiên làm việc của họ sẽ hết hạn trong khoảng thời gian sống của token đã được cấu hình (mặc định là một giờ). Không có bí mật dài hạn nào được lưu trữ trên máy của lập trình viên.

Kiến trúc của Claude apps gateway for AWS

Gateway xử lý năm trách nhiệm cốt lõi:

  • Danh tính (Identity): Gateway kết nối với bất kỳ nhà cung cấp danh tính nào tuân thủ chuẩn OpenID Connect (OIDC). Sau khi lập trình viên đăng nhập qua single sign-on (SSO) trên trình duyệt, gateway sẽ cấp một token ngắn hạn mà CLI sử dụng cho tất cả các yêu cầu tiếp theo.
  • Chính sách (Policy): Doanh nghiệp định nghĩa các cài đặt được quản lý một lần trên máy chủ. Các client nhận chính sách khi đăng nhập và gateway thực thi nó trên mọi yêu cầu. Doanh nghiệp có thể điều chỉnh các mô hình được phép, quyền sử dụng công cụ và cài đặt mặc định một cách tập trung, theo từng nhóm IdP.
  • Dữ liệu đo lường (Telemetry): Client ghi lại một chỉ số sử dụng cho mỗi yêu cầu, và gateway chuyển tiếp nó qua giao thức OpenTelemetry Protocol (OTLP) đến một collector do doanh nghiệp cấu hình, chẳng hạn như Amazon CloudWatch, Amazon Managed Service for Prometheus trong tài khoản của bạn, hoặc một nền tảng của bên thứ ba.
  • Định tuyến (Routing): Gateway giữ chứng thực upstream và định tuyến các yêu cầu inference đến Amazon Bedrock hoặc Claude Platform trên AWS thay mặt cho các lập trình viên, với tùy chọn chuyển đổi dự phòng (failover) giữa các Region của AWS hoặc qua nhiều tài khoản.
  • Hạn mức chi tiêu (Spend caps): Đặt giới hạn chi tiêu hàng ngày, hàng tuần và hàng tháng cho mỗi tổ chức, nhóm hoặc người dùng. Khi một lập trình viên vượt quá hạn mức, gateway sẽ chặn các yêu cầu tiếp theo cho đến khi chu kỳ được đặt lại hoặc quản trị viên tăng giới hạn.

Khi Claude apps gateway được sử dụng với Amazon Bedrock, các yêu cầu inference sẽ đi qua Amazon Bedrock trong các AWS Region mà bạn cấu hình, duy trì các biện pháp kiểm soát quyền riêng tư và xử lý dữ liệu tương tự như bất kỳ workload nào khác trên Amazon Bedrock trong tài khoản của bạn. Khi sử dụng với Claude Platform trên AWS, các yêu cầu sẽ được Anthropic xử lý.

Cấu hình

Gateway đọc một tệp YAML duy nhất khi khởi động. Dưới đây là một cấu hình tối thiểu cho môi trường production:

Tệp gateway.yaml — cấu hình đầy đủ cho một triển khai trên Amazon Bedrock

Tệp này chứa sáu phần và các thông tin bí mật được lưu trong biến môi trường. Upstream của Bedrock sử dụng vai trò IAM của container, vì vậy không cần quản lý chứng thực tĩnh. Để định tuyến qua Claude Platform trên AWS, chỉ cần thay thế khối upstreams.

Gateway chạy như một container stateless trong mạng riêng của bạn trên Amazon Elastic Container Service (Amazon ECS), Amazon Elastic Kubernetes Service (Amazon EKS), hoặc Amazon Elastic Compute Cloud (Amazon EC2). Bạn đặt nó sau một Application Load Balancer nội bộ với chứng chỉ Transport Layer Security (TLS) từ AWS Certificate Manager. Amazon Relational Database Service (Amazon RDS) for PostgreSQL được dùng để lưu trữ trạng thái đăng nhập ngắn hạn.

Trải nghiệm đăng nhập của lập trình viên

Sau khi gateway được triển khai, lập trình viên chạy lệnh claude /login. Quản trị viên có thể đẩy một tệp cài đặt được quản lý đến máy của lập trình viên thông qua công cụ quản lý thiết bị để điền sẵn URL của gateway, giúp họ thấy trực tiếp màn hình đăng nhập.

Màn hình đăng nhập Claude apps gateway trong Claude Code

Khi họ nhấn Enter, một trình duyệt sẽ mở ra với trang SSO của công ty.

Xác thực SSO qua trình duyệt với nhà cung cấp danh tính của doanh nghiệp

Chỉ với một lần đăng nhập, họ đã được kết nối. Phiên làm việc sẽ tự động làm mới trong nền bằng OIDC refresh token, vì vậy lập trình viên luôn được xác thực ngay cả khi khởi động lại mà không cần đăng nhập lại qua trình duyệt.

Làm việc với Claude Code

Sau khi đăng nhập, lập trình viên sử dụng Claude Code như bình thường. Sự khác biệt là vô hình đối với họ: mọi yêu cầu đều được xác thực qua gateway, định tuyến qua upstream đã cấu hình và chịu sự chi phối của các chính sách bạn đã đặt ra một cách tập trung.

Claude Code phản hồi một prompt, được định tuyến qua Amazon Bedrock thông qua gateway

Trình chọn /model chỉ hiển thị các mô hình mà chính sách của bạn cho phép. Ngoài quyền truy cập mô hình, chính sách có thể kiểm soát các quyền của công cụ, chẳng hạn như hạn chế ghi tệp hoặc truy cập web. Mức sử dụng được ghi nhận theo danh tính của mỗi lập trình viên và chi phí được theo dõi theo hạn mức của họ. Nếu họ rời công ty, việc xóa họ khỏi IdP sẽ thu hồi quyền truy cập trong vòng đời của phiên đã cấu hình.

Kết luận

Với Claude apps gateway for AWS, doanh nghiệp có thể mở rộng việc áp dụng Claude Code và Claude Desktop trong toàn tổ chức trong khi vẫn quản lý danh tính, chính sách và chi phí từ một nơi duy nhất. Luồng danh tính tích hợp với IdP hiện có, chính sách được thực thi tập trung và chi phí được ghi nhận cho từng người dùng mà không cần lưu trữ bí mật dài hạn trên máy của lập trình viên.

Doanh nghiệp có thể lựa chọn Amazon Bedrock khi dữ liệu phải ở trong vành đai bảo mật của AWS, hoặc Claude Platform trên AWS để truy cập trải nghiệm gốc của Anthropic với xác thực và thanh toán qua AWS. Để bắt đầu, hãy tải xuống Claude Code CLI và xem lại tài liệu về Claude apps gateway.