Blog / claude-compliance

claude-compliance

Claude EU-dataresidens: opsætning via AWS Bedrock

EU-dataresidens for Claude via AWS Bedrock og SSO: trin-for-trin opsætning, IAM-rettigheder, og hvorfor eu.-profilen er afgørende (ikke global.).

Thomas Cilius · 3. juli 2026 · 11 min læsetid

Indhold (11 afsnit)

Hvorfor Bedrock, og hvad det betyder for din compliance
Forudsætninger
Trin 1: Opret en AWS SSO-profil
Trin 2: Bekræft profilen
Trin 3: Log ind med SSO
Trin 4: Validér dine credentials
Trin 5: Konfigurér Claude Desktop mod Bedrock
Hvad sker der med data - helt præcist?
Almindelige problemer
Minimum-tjekliste
FAQ
Kilder og retsgrundlag

De fleste tror, at EU-dataresidens er en indstilling, man slår til inde i Claude. Det er det ikke. Hos Anthropic behandles data som udgangspunkt på USA-baseret infrastruktur, og hverken claude.ai eller Anthropics egen API har en garanteret EU-only-region.

Har du et hårdt krav om, at data skal blive i EU - fordi I er i en reguleret sektor, eller fordi en kunde forlanger det - så er svaret ikke "den almindelige Claude". Så kører du Claude via AWS Bedrock i en EU-region. Det er en separat cloud-opsætning, og den er ikke svær. Men der er én indstilling, der afgør det hele - og den er nem at overse.

Hvorfor Bedrock, og hvad det betyder for din compliance

Når du kører Claude via Bedrock, skifter du leverandørstak. Det er ikke længere Anthropic, der hoster modellen for dig - det er AWS. Det har to konsekvenser, du skal være bevidst om:

For det første: AWS bliver din databehandler for selve modelkørslen, og det er AWS' vilkår og databehandleraftale, der gælder. Den databehandleraftale, du ellers læner dig op ad hos Anthropic, dækker direkte brug af Claude hos Anthropic - ikke brug gennem AWS. Du skal altså have styr på AWS-aftalen og din egen AWS-opsætning.

For det andet: du får til gengæld det, Anthropics direkte tilbud ikke giver - behandling inden for EU's grænser. For mange danske virksomheder i regulerede sektorer er det netop dét, der gør forskellen på "vi tror, data er i EU" og "vi kan dokumentere, at data behandles i EU".

Hovedpointe: Bedrock-ruten løser dataresidens - ikke hele din GDPR. Du skal stadig have et behandlingsgrundlag, en fortegnelse og en vurdering af, hvad I lægger ind. EU-hosting er en byggesten, ikke et frikort.

Forudsætninger

Før du går i gang, skal du have:

En AWS-konto med adgang til Amazon Bedrock i en EU-region (fx Frankfurt, eu-central-1).
AWS IAM Identity Center (SSO) sat op i din organisation.
Adgang til de relevante Claude-modeller aktiveret i Bedrock-konsollen (Model access).
En IAM-rolle med rettighederne bedrock:InvokeModel og bedrock:InvokeModelWithResponseStream.
Den nyeste version af Claude Desktop.

Trin 1: Opret en AWS SSO-profil

SSO er at foretrække frem for langtidsholdbare access keys - tokens udløber, og du undgår at have nøgler liggende i klartekst. Kør:

aws configure sso --profile <din-profil>

Udfyld:

SSO start URL: fx https://din-org.awsapps.com/start
SSO region: fx eu-central-1
Log ind via browseren, når du bliver bedt om det
Vælg din konto og din rolle
CLI default region: din Bedrock-region, fx eu-central-1
Output: json
Profilnavn: <din-profil>

Trin 2: Bekræft profilen

aws configure list-profiles

Du kan også tjekke ~/.aws/config. Du bør se noget i retning af:

[profile <din-profil>]
sso_session = <din-profil>
sso_account_id = <konto-id>
sso_role_name = <rolle-navn>
region = eu-central-1
output = json

Trin 3: Log ind med SSO

aws sso login --profile <din-profil>

Trin 4: Validér dine credentials

aws sts get-caller-identity --profile <din-profil>

Returnerer den dine kontooplysninger, virker SSO.

Trin 5: Konfigurér Claude Desktop mod Bedrock

Åbn Claude Desktop og opdatér til nyeste version.
I topmenuen: Help → Troubleshooting → Enable Developer Mode.
I Developer-menuen: Configure Third-Party Inference.
Under Connection:
- Vælg Bedrock
- AWS region: eu-central-1 (eller din EU-region)
- AWS profile name: <din-profil> (fra ~/.aws/config)
- Model list: brug en EU-profil - fx eu.anthropic.claude-sonnet-4-6. Brug IKKE global.-varianten, hvis dataresidens er målet.
- Lad AWS bearer token stå tom
- Lad AWS config directory stå tom (bruger ~/.aws)
Klik Apply locally.
Genstart Claude Desktop.

Hvad sker der med data - helt præcist?

En geografisk EU-profil holder behandlingen inden for AWS' EU-regioner. Men vær præcis i din dokumentation: ved cross-region inference kan dine prompts og svar bevæge sig mellem EU-regioner (fx fra Frankfurt til Irland) for at få kapacitet. Data forlader altså EU's grænser ikke - men det forlader måske din kilde-region. For langt de fleste er det helt fint og fortsat inden for GDPR's rammer, fordi overførsel internt i EU ikke er en tredjelandsoverførsel. Men det skal stå rigtigt i din fortegnelse.

Til sammenligning: en global profil kan sende forespørgslen til AWS-regioner uden for EU. Så er du tilbage i en tredjelandsoverførsel efter GDPR kapitel V - præcis det, du ville undgå.

Almindelige problemer

Profil ikke fundet: aws sts get-caller-identity --profile <navn> fejler → kør aws configure sso --profile <navn> igen.
SSO udløbet: kør aws sso login --profile <navn>.
Bedrock access denied: sørg for, at rollen har bedrock:InvokeModel og bedrock:InvokeModelWithResponseStream, og at modellen er aktiveret under Model access.
Forkert region: tjek, at de ønskede Claude-modeller faktisk er tilgængelige i din EU-region - udvalget varierer mellem regioner.

Minimum-tjekliste

aws configure sso --profile <navn>
aws sso login --profile <navn>
aws sts get-caller-identity --profile <navn>

I Claude Desktop:

Provider = Bedrock
Region = din EU-region (fx eu-central-1)
Profilnavn = <navn>
Model = eu.anthropic... (EU-profil, ikke global.)
Bearer token = tom
Genstart appen

So what

Hvad betyder det for din virksomhed?

Beslutningen

Beslut, om I reelt har et EU-dataresidenskrav - eller om SCC'er på den almindelige Claude er nok. Bedrock-ruten er mere arbejde og en ekstra leverandøraftale (AWS). Tag den, hvis residens er et reelt krav, ikke en mavefornemmelse.

Handling de næste 30 dage

1) Aktivér Bedrock + Claude-modeller i en EU-region. 2) Sæt SSO op med en rolle, der kun har bedrock:InvokeModel-rettighederne. 3) Peg Claude Desktop på en eu.-inference-profil - ikke global. 4) Få AWS-databehandleraftalen på plads og før EU-regionen ind i din fortegnelse.

Risiko ved at vente

Den klassiske fejl er at logge ind i en EU-region og så bruge en global. inference-profil. Så tror I, data er i EU, mens forespørgslerne reelt kan route til USA. Det er værre end ingen residens, fordi det giver falsk tryghed i dokumentationen.

Thomas’ vurdering

Bedrock i en EU-region med en eu.-profil giver dig reel EU-dataresidens for Claude. Det løser tredjelandsproblemet - men husk, at AWS nu er din databehandler, og at resten af din GDPR (grundlag, fortegnelse, AI Act) stadig er dit eget ansvar.

FAQ

Kilder og retsgrundlag

AWS: Geographic cross-Region inference (Bedrock) · Global cross-Region inference (Bedrock)
Anthropic: Claude in Amazon Bedrock · Regional compliance · databehandleraftale (DPA)
EU-ret: GDPR kapitel V - overførsler til tredjelande

Dette er generel information, ikke juridisk rådgivning til en konkret implementering. Verificér aktuelle modelnavne, regioner og inference-profiler i AWS Bedrock-konsollen, da udvalget ændrer sig.

Ofte stillede spørgsmål

Nej. Claude Enterprise inkluderer ikke garanteret EU-dataresidens. Anthropics egen API og claude.ai behandler som udgangspunkt data på USA-baseret infrastruktur. Vil du have data i EU, kører du Claude via AWS Bedrock eller Google Vertex AI i en EU-region - en separat cloud-opsætning uden for Claude-abonnementet.