Claude Code ガイド

Appearance

Vertex AI: X.509 証明書ベースの Workload Identity Federation 対応

原文(日本語に翻訳)

Vertex AI: X.509 証明書ベースの Workload Identity Federation(mTLS ADC)をサポートしました。

原文(英語)

Vertex AI: support X.509 certificate-based Workload Identity Federation (mTLS ADC)

概要

Claude Code v2.1.121 では、Google Cloud Vertex AI 経由で Claude を使用する際に、X.509 証明書ベースの Workload Identity Federation(mTLS Application Default Credentials)がサポートされました。これにより、サービスアカウントキーを使わずに証明書ベースの認証でセキュアに Vertex AI に接続できるようになります。特に、ゼロトラストセキュリティを重視するエンタープライズ環境や、証明書管理インフラが整っている組織での利用に最適です。

基本的な使い方

bash
# X.509 証明書ベースの ADC を設定(Google Cloud の Workload Identity Federation)
# gcloud CLI で証明書ベース認証を設定

# application_default_credentials.json に mTLS 設定が含まれている場合
# Claude Code は自動的に証明書ベース認証を使用する

export ANTHROPIC_VERTEX_PROJECT_ID=my-gcp-project
export CLOUD_ML_REGION=us-central1
claude "コードレビューをお願いします"

実践例

Workload Identity Federation の設定

bash
# Google Cloud で Workload Identity Pool と証明書プロバイダーを設定
gcloud iam workload-identity-pools create "claude-pool" \
  --location="global" \
  --description="Claude Code Workload Identity Pool"

# X.509 証明書プロバイダーを設定
gcloud iam workload-identity-pools providers create-x509 "cert-provider" \
  --location="global" \
  --workload-identity-pool="claude-pool" \
  --trust-store-config-path="trust-config.yaml"

ADC 設定ファイルの例

json
// ~/.config/gcloud/application_default_credentials.json
{
  "type": "external_account",
  "audience": "//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/claude-pool/providers/cert-provider",
  "subject_token_type": "urn:ietf:params:oauth:token-type:mtls",
  "credential_source": {
    "certificate": {
      "use_default_cert_config": true
    }
  }
}

CI/CD 環境での証明書認証

yaml
# Google Cloud の証明書ベース Workload Identity を使った CI 設定
- name: Setup mTLS ADC
  run: |
    # 証明書を配置
    echo "$CERT_CONTENT" > /tmp/client.crt
    echo "$KEY_CONTENT" > /tmp/client.key
    
    # ADC を証明書ベースに設定
    gcloud auth login --cred-file=workload-identity-config.json

- name: Run Claude Code
  env:
    ANTHROPIC_VERTEX_PROJECT_ID: ${{ vars.GCP_PROJECT_ID }}
    CLOUD_ML_REGION: us-central1
  run: |
    claude -p "コードの脆弱性を分析してください"

注意点

  • X.509 証明書ベースの認証には Google Cloud の Workload Identity Federation が設定されている必要があります
  • mTLS ADC(Application Default Credentials)は通常の gcloud auth application-default login とは別の設定です
  • この機能は Vertex AI 経由での Claude 利用時のみ適用されます
  • 証明書の有効期限管理はユーザー側の責任となります

関連情報