Claude Code WorkspacesとはAnthropicコンソールのAPIキー・チーム管理機能
室谷今回はAnthropicコンソールの「Workspaces(ワークスペース)」機能を深掘りしましょう。これ、Claude Codeをチームで使い始めたタイミングで急に必要になる機能なんですよね・・・
テキトー教師ですよね。講座でコミュニティのメンバーさんに「チームにClaude Codeを導入したい」って話になると、必ずWorkspacesの話が出てきます。
個人で使ってる分には気にしないけど、複数人・複数プロジェクトで使い始めると急に重要になる。
個人で使ってる分には気にしないけど、複数人・複数プロジェクトで使い始めると急に重要になる。
室谷MYUUUでも最初はDefault Workspaceだけで回してたんですが、プロジェクトが増えてきてAPIキーの管理が混乱してきたんですよ。どのキーがどのプロジェクトのものかわからなくなって・・・
テキトー教師「APIキーが意図せず別のプロジェクトで使われた」みたいなこと、あるあるじゃないですか。Workspacesはそういう問題を根本から解決する仕組みです。
室谷一言で言うと「APIキーをプロジェクトやチームごとに完全に分離する機能」ですね。しかも使用量の追跡やレートリミットの設定も、Workspace単位でできる。
テキトー教師単純なAPIキー管理ツールだと思ってる人が多いんですが、実はそれ以上なんですよ。メンバーのロール管理、コスト追跡、レート制限の個別設定まで全部できます。
Workspacesの基本:何ができるのか
室谷まず基本から整理しましょう。WorkspacesはAnthropicコンソール()の機能で、組織内のAPI利用を整理するための仕組みです。
テキトー教師大事なのは「すべての組織にはDefault Workspaceがある」という前提ですね。これは削除も名前変更もできない。
追加のWorkspaceを作って、プロジェクトやチームごとに分けていく形です。
追加のWorkspaceを作って、プロジェクトやチームごとに分けていく形です。
室谷WorkspaceにはIDがあって、
wrkspc_というプレフィックスがつきます。公式ドキュメントに例としてwrkspc_01JwQvzr7rXLA5AGx3HKfFUJという形式が示されていて、これをAdmin APIで指定することで、プログラマティックな管理もできます。テキトー教師上限は1組織あたり100 Workspaceです。アーカイブ済みはカウントされないので、実質的にはかなり余裕があります。
Workspacesで管理できる主な内容をまとめるとこうなります。
| 機能 | 内容 |
|---|---|
| APIキー管理 | Workspace単位でAPIキーを発行・管理 |
| メンバーアクセス制御 | ロールベースで誰がどのWorkspaceを使えるか管理 |
| レートリミット設定 | Workspace単位でリクエスト数・トークン数を制限 |
| 使用量・コスト追跡 | Usage and Cost APIでWorkspace別の使用量を確認 |
| リソーススコープ | Files API・Batch API等のリソースをWorkspace内に閉じ込め |
室谷この「リソーススコープ」が地味に重要で。Files APIで作ったファイルも、Batch APIのジョブも、全部そのWorkspace内にしかアクセスできないんですよ。
テキトー教師セキュリティ面でいうと、これはかなり大きいです。「開発チームのAPIキーが本番データにアクセスできてしまった」みたいなインシデントをWorkspaces単位の分離で防げます。
室谷公式ドキュメントによると、2026年2月5日からプロンプトキャッシュもWorkspace単位で分離されたので・・・より完全なリソース分離が実現しましたね(Claude APIとAzureのみ対象)。
Workspaceのロール設計:誰に何を許可するか
テキトー教師Workspacesの仕組みを理解するうえで、ロールの設計が一番重要だと思います。組織レベルのロールとWorkspaceレベルのロールが別になってるので、最初は混乱しがちです。
室谷そうなんですよ。「組織の管理者はすべてのWorkspaceのAdmin権限を自動で持つ」んだけど、「開発者は明示的に各Workspaceに追加しないとアクセスできない」という非対称な設計です。
テキトー教師これを理解してないと「なんで組織メンバーなのにこのWorkspaceにアクセスできないんですか」ってなります。講座でも必ずここで混乱が起きます(笑)
Workspaceのロール一覧を整理するとこうなります。
| ロール | 権限 |
|---|---|
| Workspace User | Workbenchの利用のみ |
| Workspace Limited Developer | APIキーの作成・管理、API利用(セッショントレース非表示) |
| Workspace Developer | APIキーの作成・管理、API利用(フルアクセス) |
| Workspace Admin | Workspace設定・メンバーの完全制御 |
| Workspace Billing | 請求情報の閲覧(組織Billingロールから継承) |
室谷注意点として「Workspace Billingは手動で付与できない」。組織レベルのBillingロールを持ってると自動的に継承される形です。
テキトー教師実務的には「開発者はWorkspace Developer」「外部パートナーはWorkspace Limited Developer」「管理担当はWorkspace Admin」という分け方が多いですね。
室谷Limited Developerはセッショントレースビューとファイルダウンロードができない制限があります。機密データを扱うWorkspaceで外部の人を招待するときに便利です。
テキトー教師コミュニティのメンバーさんがよく言うのが「メンバーを削除したらAPIキーはどうなるの?」という質問です。メンバーを削除してもAPIキーは消えません。
APIキー自体は別途管理が必要です。
APIキー自体は別途管理が必要です。
室谷これはハマりポイントですね。メンバーを外したから「このAPIキーも使えなくなった」と思ったら全然使えてた、みたいなことが起きます・・・
Workspaceのコンソール操作:作成から設定まで
室谷実際の操作手順を見ていきましょう。Workspaceの作成はAnthropicコンソールの「Settings > Workspaces」から行います。
テキトー教師作成ステップは4つです。
- Anthropicコンソール(console.anthropic.com)の「Settings > Workspaces」を開く
- 「Create workspace」をクリック
- Workspace名と識別用のカラーを設定
- 「Create」で完成
室谷Workspace名は一目で何のWorkspaceかわかる名前にするのがベストプラクティスです。公式でも「Production - Customer Chatbot」「Dev - Internal Tools」みたいな形式を推奨してます。
テキトー教師「production」「dev」「staging」みたいな環境名と、プロジェクト名を組み合わせる命名規則ですね。Workspaceが増えてきたときに絶対助かります。
室谷Workspace間の切り替えはコンソール左上の「Workspaces selector」からできます。
テキトー教師メンバーの追加手順も見ておきましょう。
- 対象Workspaceの「Members」タブを開く
- 「Add to Workspace」をクリック
- 組織メンバーを選択してロールを割り当て
- 確認して追加完了
室谷重要なのは「組織のAdminとBillingメンバーは、それぞれのロールを持っている間はWorkspaceから削除できない」という制約です。これを知らないと削除しようとしてエラーになる。
テキトー教師逆に言うと、誰かのWorkspaceアクセスを完全に止めたい場合は「組織レベルのロール変更が必要」なケースがあります。
Workspaceのレートリミットとコスト制御
室谷Workspacesのコスト管理機能、これがまた優秀で・・・「Limitsタブ」から設定できるんですが、モデルティア別にレートリミットを設定できます。
テキトー教師設定できる制限の種類は3つですね。
- リクエスト数/分(RPM)
- 入力トークン数/分
- 出力トークン数/分
室谷開発用Workspaceには低め、本番用には高めのリミットを設定するのが基本です。あとスペンド通知も設定しておくと、急に使用量が跳ね上がったときにすぐ気づける。
テキトー教師注意点は「Workspace制限は組織全体の制限以下にしか設定できない」こと。組織の上限を超えるWorkspace設定は作れません。
それと「Default Workspaceには制限を設定できない」のも覚えておく必要があります。
それと「Default Workspaceには制限を設定できない」のも覚えておく必要があります。
室谷複数Workspaceの制限を合計したら組織の上限を超えてもOKなんですよ。実際に全部が同時にMaxを打つことはないだろう、という前提で設計されてますね。
テキトー教師コスト追跡はUsage and Cost APIを使います。
workspace_ids[]パラメータでWorkspaceを指定して、期間別・Workspace別の使用量をJSON形式で取得できます。室谷MYUUUでも月次でWorkspace別コストをレポート化してます。どのプロジェクトがどれだけAPI使ってるか可視化できるので、プロジェクト別のROI計算に使えてますね。
Admin APIでWorkspacesをプログラマティックに管理する
室谷チームが大きくなってきたり、環境が増えてきたりすると、コンソールからポチポチ操作するのは限界が来ます。そこでAdmin APIです。
テキトー教師Admin APIとは、通常のAPI(
sk-ant-api...)とは別の「Admin APIキー(sk-ant-admin...)」を使うAPIです。組織のAdminだけが発行できます。室谷できることは主に3つです。Workspaceの作成・一覧取得・アーカイブ、メンバーの追加・ロール変更・削除、APIキーの管理。
実際のコマンド例を見てみましょう。
# Workspace一覧を取得
curl "https://api.anthropic.com/v1/organizations/workspaces?limit=10&include_archived=false" \
--header "anthropic-version: 2023-06-01" \
--header "x-api-key: $ANTHROPIC_ADMIN_KEY"
# Workspaceを作成
curl --request POST "https://api.anthropic.com/v1/organizations/workspaces" \
--header "anthropic-version: 2023-06-01" \
--header "x-api-key: $ANTHROPIC_ADMIN_KEY" \
--data '{"name": "Production - New Feature"}'
# メンバーを追加
curl --request POST "https://api.anthropic.com/v1/organizations/workspaces/{workspace_id}/members" \
--header "anthropic-version: 2023-06-01" \
--header "x-api-key: $ANTHROPIC_ADMIN_KEY" \
--data '{"user_id": "user_xxx", "workspace_role": "workspace_developer"}'
Admin APIキーは通常のAPIキーと別物なので、混在させないようにしてください。
sk-ant-adminで始まるかsk-ant-apiで始まるかで区別できます。室谷Infrastructure as Codeでインフラ管理してるチームは、WorkspacesもAdmin APIで管理するのが自然です。新しいプロジェクトが立ち上がったら自動でWorkspaceを作成してAPIキーを配布、みたいなフローを組めます。
テキトー教師講座では「小規模チームならコンソール操作で十分、10人を超えてくるとAdmin APIでの自動化を検討し始めてください」と伝えてます。
Workspaceのユースケース:どう使い分けるか
テキトー教師具体的な使い分けの話をしましょう。公式ドキュメントに3つの典型的なユースケースが紹介されてます。
室谷まず「環境分離」。development・staging・productionを別Workspaceにする。
APIキーを分けることで「開発用のキーが誤って本番に使われた」みたいなミスを防げます。
APIキーを分けることで「開発用のキーが誤って本番に使われた」みたいなミスを防げます。
テキトー教師2つ目が「チーム・部門別」。エンジニアリングチーム、データサイエンスチーム、サポートチームで別々のWorkspaceを持つ。
コストを部門ごとに可視化できます。
コストを部門ごとに可視化できます。
室谷3つ目が「プロジェクト別」。プロダクトAとプロダクトBで別Workspace。
これが一番よく使うパターンですね。プロジェクトをまたいだAPIキー漏洩のリスクもなくなります。
これが一番よく使うパターンですね。プロジェクトをまたいだAPIキー漏洩のリスクもなくなります。
テキトー教師実務的にはこれを組み合わせる形になりますね。「プロダクトA-development」「プロダクトA-production」「プロダクトB-development」みたいな構成。
室谷MYUUUの場合は社内プロジェクトと顧客向けプロジェクトを必ず分けてますね。顧客データが関係するプロジェクトのAPIキーは専用Workspaceに閉じ込めて、アクセスできるメンバーを明示的に管理してます。
テキトー教師「Default Workspaceに何でも入れてしまう」パターンが一番よくないです。後から整理しようとしても、どのAPIキーがどの用途か把握できなくなってる、みたいな状態になります。
室谷最初にWorkspace設計を考える時間を取るのは本当に重要で・・・あとから変更しようとするとAPIキーの発行し直し、メンバーの追加し直しとか工数がかかります。
よくある質問
テキトー教師最後によくある質問をまとめておきましょう。
Q: ローカルのClaude Code設定(.claude/settings.json)とAnthropicコンソールのWorkspacesは別物ですか?
室谷全く別の概念です。ローカルの
混同しやすいんですが・・・
.claude/settings.jsonはClaude Codeの動作設定(権限・Hooks・MCP設定など)で、AnthropicコンソールのWorkspacesはAPIキー管理・チームアクセス制御です。混同しやすいんですが・・・
テキトー教師「Claude Codeのworkspace」で検索するとVS Codeの
.code-workspaceファイルの話が出てくることもあるので、そこも注意です。それも全く別物。Q: Workspaceをアーカイブすると何が起きますか?
室谷そのWorkspaceに紐づくすべてのAPIキーが即座に無効化されます。元に戻せないので要注意です。
過去の使用量データは保持されるので、コスト追跡への影響はありません。
過去の使用量データは保持されるので、コスト追跡への影響はありません。
テキトー教師「プロジェクトが終わったからWorkspaceを削除したい」と思ってアーカイブしたら、そこのAPIキーを使ってるサービスが全部止まった、というインシデントが起きがちです。アーカイブ前に必ずAPIキーの使用状況を確認してください。
Q: APIキーはWorkspaceを越えてアクセスできますか?
テキトー教師できません。WorkspaceのAPIキーはそのWorkspace内のリソースにしかアクセスできない設計です。
これがWorkspaces機能の核心です。
これがWorkspaces機能の核心です。
室谷だからこそ、適切にWorkspaceを設計することで「意図しないデータアクセス」を防げる。これが一番のメリットだと思います。
まとめ
室谷整理しましょう。AnthropicコンソールのWorkspacesは「APIキーとチームアクセスを組織・プロジェクト単位で分離管理する機能」です。
テキトー教師個人で使うなら不要ですが、チーム・複数プロジェクトでClaude Codeを使い始めたらWorkspacesの設計が必要になります。最初に設計しておくことで、後から整理する手間が省けます。
室谷要点をまとめるとこうです。
- Workspaceを作ればAPIキーを完全に分離できる
- ロール設定で「誰が何のWorkspaceを使えるか」を明示的に管理
- レートリミットとスペンド通知でコストを制御
- Admin APIで大規模チームも自動化管理が可能
テキトー教師次のステップとして、Workspacesを設定したあとは各WorkspaceでAPIキーを発行して、Claude Codeの
ANTHROPIC_API_KEY環境変数で使うWorkspaceを切り替える形になります。室谷環境ごとにAPIキーを使い分けることで、「このコマンドはdevelopment Workspaceに向けている」「こっちはproductionだ」という意識を持って開発できるようになります。これ、チーム開発の品質にじわじわ効いてきますよ。
