Anthropic推出Claude apps gateway，管理员可统一管理Claude Code权限与费用

以前公司在Amazon Bedrock或Google Cloud上跑Claude Code，IT管理员得给每个开发者单独配云凭证，手动把设置推到每台笔记本，还得搭一套独立工具才能看清每个人的花费。

Anthropic搞了个Claude apps gateway来解决这事。它运行在Amazon Bedrock和Google Cloud上，是个自托管控制平面。管理员能统一做企业SSO登录、集中执行策略、按角色分配权限，还能按用户归集成本。

Gateway部署起来很简单——一个无状态容器跑在Linux上，后端挂个PostgreSQL。它拿着上游凭证，通过企业的身份提供者认证开发者，然后分发并强制执行管理设置，再把每个用户的用量报告给你自己运营的数据收集器。开发者入职，只要在身份提供者里加一个人；离职，从身份提供者里移除——不用再手动折腾每台机器上的凭证。

身份这块，Gateway充当OpenID Connect依赖方，支持Google Workspace、Microsoft Entra ID、Okta这些标准OIDC提供者，发短期会话。开发者机器上不存长期密钥，泄露风险低了不少。

策略上，管理员在服务器上定义好托管设置，客户端一登录就收到策略，Gateway在每个请求上执行。允许哪些模型、默认配置怎么设，集中调一次就行，不用逐个设备下发。

遥测方面，每个请求都带了使用指标，Gateway通过OTLP协议发给管理员配置的收集器，数据完全留在企业内部网络，按自己的保留计划跑。除非你主动配了用Claude API，否则Gateway不会把推理流量或使用数据发给Anthropic。

路由上，Gateway拿着上游凭证，能把推理请求送到Claude API、Amazon Bedrock或Google Cloud，还能在提供商之间做故障转移，避免单点依赖。

消费上限支持每日、每周、每月限制，可以按组织、组或单个用户设。管理员能防止个别开发者无意中花超预算。

Gateway不是独立服务，是Anthropic开发的，随开发者已经装好的claude二进制文件一起发布。部署就三步：下载Claude Code CLI，配置gateway.yaml指向你的OIDC发行者和上游凭证，在身份提供者里注册一个OIDC应用。推广时，在客户端机器的managed-settings.json里设好forceLoginMethod和forceLoginGatewayUrl参数，客户端第一次启动就自动连上Gateway。

Anthropic还在发布Gateway用的协议，其他网关开发者也能实现一样的功能。目前定价模型不清楚是不是包含在Claude Code许可里，也不确定Gateway是否支持其他云平台。它只能管理Claude Code，管不了别的AI工具。身份验证依赖标准OIDC，不支持非OIDC提供者。部署只需要Linux容器加PostgreSQL，不需要复杂硬件。

Gateway已经能用。对数据敏感的企业来说，推理流量和使用数据完全留在自己网络里——这一点可能是他们选它的关键原因。