機能を学ぶ · COURSE
Bedrock / Vertex でセキュアに動かす
AWS / GCP 既存契約の上で Claude Code を運用する手順。
audience
DevOps / SRE / セキュリティ担当
duration
60分
lessons
6 章
reviewed
2026.05
2 分でコース概要を見る
このコースで作るもの
- 01Bedrock または Vertex の接続設定一式
- 02モデル ID 固定 + バージョン管理ルール
- 03OTel コスト・アクセスログのダッシュボード
達成目安
全 6 レッスンを読み、コース完了マークを付ける
未完了
クイズ 6 問に挑戦し、正答率 80% 以上
未挑戦
成果物 3 個を実際に手元に作る
自己チェック
コース構成
このコースで学ぶこと
- 01
なぜクラウドプロバイダ経由か
Anthropic API 直接ではなく、AWS Bedrock / Google Vertex 経由で使う理由。
Bedrock / Vertex / Foundry 経由のメリット:
- 既存のクラウド契約・予算管理にまとめられる - ZDR(Zero Data Retention)が標準的に効く - IAM / Workload Identity で社内認可を再利用 - VPC エンドポイント経由でネットワーク隔離
デメリット: - セットアップが Anthropic 直よりやや煩雑 - 一部の最新機能が遅れて来ることがある - リージョン制限あり
- AWS 既存組織 → Bedrock
- GCP 既存組織 → Vertex
- Azure 既存組織 → Foundry
- クラウド非依存 / 個人 → Anthropic 直
理解度チェック
Q1.既に AWS 中心で動いている組織が Claude Code を導入する場合、最も自然なプロバイダは?
- 02
Bedrock セットアップ(要点)
us-west-2 など Claude モデル提供リージョンで、IAM ロール + Model Access を取る。モデル ID は AWS のドキュメントで必ず最新版を確認すること。
bash# AWS CLI 認証済み前提 # 1. Model Access をリクエスト (AWS Console: Bedrock > Model access) # 2. IAM ロールに bedrock:InvokeModel 権限を付与 # Claude Code 環境変数 export CLAUDE_CODE_USE_BEDROCK=1 export AWS_REGION=us-west-2 # モデル ID は AWS Bedrock の Model catalog で最新を確認 # 形式: anthropic.claude-<family>-<version>-<YYYYMMDD>-v1:0 # 例: anthropic.claude-sonnet-4-5-20250929-v1:0 export ANTHROPIC_MODEL='anthropic.claude-sonnet-4-5-20250929-v1:0' # Cross-region inference profile を使う場合(推奨) # 例: us.anthropic.claude-sonnet-4-5-20250929-v1:0 claude理解度チェック
Q1.Bedrock 経由で Claude Code を起動するときに必要な環境変数は?
- 03
Vertex AI セットアップ(要点)
GCP プロジェクトで Vertex AI API を有効化、サービスアカウント or Workload Identity で認証。モデル ID は GCP のドキュメントで最新を確認すること。
bash# gcloud 認証済み前提 gcloud config set project YOUR_PROJECT_ID gcloud services enable aiplatform.googleapis.com # Claude Code 環境変数 export CLAUDE_CODE_USE_VERTEX=1 export CLOUD_ML_REGION=us-east5 export ANTHROPIC_VERTEX_PROJECT_ID=YOUR_PROJECT_ID # モデル ID は Vertex の Model garden で最新を確認 # 形式: claude-<family>-<version>@<YYYYMMDD> # 例: claude-sonnet-4-5@20250929 export ANTHROPIC_MODEL='claude-sonnet-4-5@20250929' # サービスアカウントキー(ローカル開発のみ) export GOOGLE_APPLICATION_CREDENTIALS=~/.gcp/claude-code-sa.json claude理解度チェック
Q1.GCP 本番環境で Vertex 経由 Claude を動かすときの推奨認証は?
- 04
モデル ID の固定とバージョン管理
「自動で最新版」は便利だが、本番運用ではバージョン固定が必須。
Bedrock / Vertex では新モデルが GA したときに無断で切り替わると、プロンプトキャッシュ再構築でコストが跳ねる場合があります。
managed-settings で `model.allow` リストと `model.default` を明示固定し、各部署で勝手に新モデルに切り替えられないようにします。
json{ "model": { "allow": [ "us.anthropic.claude-sonnet-4-5-20250929-v1:0", "us.anthropic.claude-haiku-4-5-20251001-v1:0" ], "default": "us.anthropic.claude-sonnet-4-5-20250929-v1:0" } }/etc/claude/managed-settings.json — 組織配布。ID は執筆時点の参考値で、現行版は公式 docs で確認 理解度チェック
Q1.本番運用でモデル ID を `model.allow` リストで固定する目的は?
- 05
ネットワーク制約環境(プロキシ / CA)
社内プロキシ・自社 CA・mTLS の三大障壁を順に潰す。
Enterprise: ネットワーク制約bash# 企業プロキシ export HTTPS_PROXY=http://proxy.corp.example:8080 export NO_PROXY=localhost,.corp.example,169.254.169.254 # 自社 CA export NODE_EXTRA_CA_CERTS=/etc/ssl/certs/corp-ca.pem # mTLS export CLAUDE_CLIENT_CERT=/etc/ssl/certs/claude.crt export CLAUDE_CLIENT_KEY=/etc/ssl/private/claude.key理解度チェック
Q1.自社 CA を使うネットワークで Claude Code が TLS 失敗するときに設定すべき環境変数は?
- 06
観測:OpenTelemetry でコストとアクセスを
誰が・いつ・いくら使ったか・どのモデルか、を OTel でダッシュボード化。
- claude.cost.usd — セッションごとのコスト累計
- claude.tokens — input/output/cache 別のトークン
- claude.tool_decision — auto モード判定の効き目検証
- claude.session_count — 採用率把握
Enterprise: OTel 監視手を動かす
0 / 4
理解度チェック
Q1.Bedrock / Vertex 運用で OpenTelemetry を入れる主目的は?


