Setting API Key Helper — script custom para generar auth tokens dinámicos

Qué es#

Configurás un script (ej. /bin/generate_temp_api_key.sh) que Claude Code ejecuta para obtener API keys dinámicos. Útil cuando:

• Tu org usa SSO con tokens temporales
• Vault rotativo (HashiCorp Vault, AWS Secrets Manager)
• Tokens con TTL corto

El setting incluye CLAUDE_CODE_API_KEY_HELPER_TTL_MS para definir cuánto vivir el token antes de regenerar.

Tabla resumen#

Cómo se instala#

npx claude-code-templates@latest --setting authentication/api-key-helper

Después editá tu config para apuntar al script real:

{
  "apiKeyHelper": "/bin/your_generate_api_key.sh",
  "env": {
    "CLAUDE_CODE_API_KEY_HELPER_TTL_MS": "3600000"
  }
}

Para Claude:

Instalé el setting authentication/api-key-helper. Mostrame el shape
del script que debe devolver y cómo testearlo.

Qué podés hacer con esto#

SSO con tokens efímeros#

Tu org usa Okta/Auth0 con tokens de 1 hora. El script renueva automatic.

Vault rotativo#

Token expira → script regenera → Claude sigue funcionando sin que vos intervengas.

Multi-cloud credentials#

El script puede consultar AWS STS, Azure AD, GCP Workload Identity según el caso.

Combo con AWS Credentials#

API Key Helper para auth genérica. AWS Credentials para AWS Bedrock específicamente. Cubren caps diferentes.

Cuándo NO conviene#

Bajalo de la fuente#

• Ficha en aitmpl.com: API Key Helper Setting — comando exacto.
• Config JSON: api-key-helper.json.

Recursos relacionados#

• AWS Credentials Setting — para AWS específico.
• Claude Code Best Practices — patrones de auth.
• Anatomía de Claude — modelo de configuración.