Claude CodeとAWSの組み合わせ、何が変わるのか
室谷今回はClaude CodeをAWSで動かす話をしましょう。.AI(ドットエーアイ)のコミュニティでも「Bedrockで使いたいんですが」という相談が増えてきていて・・・
テキトー教師講座でも同じです。「会社のセキュリティポリシー的にAnthropicに直接つなぐのが難しい」という方が、Bedrock経由でClaude Codeを使いたいというケースが増えていますね。
室谷そうなんですよ。2パターンあって、1つはAWSを使っている企業がそのまま請求をAWSにまとめたい場合。
もう1つは、セキュリティやコンプライアンスの観点でAnthropicに直接データを送りたくないという場合です。どちらも「AWSのIAMで管理したい」という要件が根っこにある。
もう1つは、セキュリティやコンプライアンスの観点でAnthropicに直接データを送りたくないという場合です。どちらも「AWSのIAMで管理したい」という要件が根っこにある。
テキトー教師実は「Claude Code AWS」というキーワードで調べると、大半の情報がAmazon Bedrockの接続設定の話なんです。でも実際には接続設定だけじゃなくて、AWS MCPサーバーを使ってClaudeにAWSの操作をさせる、という全然違う方向の活用もありますよね。
室谷そこは分けて考えた方がいいですね。「Claude CodeをBedrockで動かす(バックエンドとしてのAWS)」と「Claude CodeからAWSを操作する(ツールとしてのAWS)」の2方向。
前者はデプロイ・認証の話で、後者はMCPサーバーの話です。
前者はデプロイ・認証の話で、後者はMCPサーバーの話です。
テキトー教師整理するとこういう構造になりますね。
| 方向 | 概要 | 主なユースケース |
|---|---|---|
| Claude Code → Amazon Bedrock(バックエンド) | BedrockをAPIエンドポイントとして使う | 企業向けセキュリティ要件・コスト管理 |
| Claude Code + AWS MCP(ツール) | AWSリソースをClaude Codeで操作する | インフラ管理・Lambdaデバッグ・CDKデプロイ |
室谷この2方向を両方やっている企業が、2026年時点での最先端の活用と言えますね。今回はその両方を解説します。
Amazon BedrockでClaude Codeを動かす設定方法
室谷まずバックエンドとしてのBedrock接続から。手順は公式ドキュメントに書いてあって、大きく4ステップです。
テキトー教師ステップ1がAWSアカウントの準備ですね。Bedrockへのアクセス申請、IAM権限の設定。
ここで初めて躓く人が多いんですよ。「Bedrockのコンソール開いてもClaudeモデルが見えない」という相談が来るんですが、大抵はモデルアクセスの申請が済んでいないケースです。
ここで初めて躓く人が多いんですよ。「Bedrockのコンソール開いてもClaudeモデルが見えない」という相談が来るんですが、大抵はモデルアクセスの申請が済んでいないケースです。
室谷あれ、初回だけやればいいんですよね。AWSアカウント単位で1回申請すれば、そのアカウント内では使えるようになる。
AWS Organizationsを使っている場合は、管理アカウントから一括申請できます。
AWS Organizationsを使っている場合は、管理アカウントから一括申請できます。
テキトー教師ステップ2がAWS認証情報の設定。これが地味に選択肢が多くて迷うポイントです。
AWS認証の5つの方法
室谷公式ドキュメントを確認すると、5つの認証方法があります。
| 方法 | コマンド・設定 | 向いているシーン |
|---|---|---|
| A: AWS CLIで設定 | aws configure | 個人利用・テスト |
| B: 環境変数(アクセスキー) | export AWS_ACCESS_KEY_ID=... | CI/CD・自動化 |
| C: 環境変数(SSOプロファイル) | aws sso login + export AWS_PROFILE=... | 企業のSSO環境 |
| D: AWS Management Consoleの認証情報 | aws login | コンソール連携 |
| E: Bedrock APIキー | export AWS_BEARER_TOKEN_BEDROCK=... | シンプルな接続テスト |
テキトー教師個人で試すなら
APIキー(方法E)は概念実証(PoC)向けで、本番では使わない方がいい。
aws configure(方法A)が一番シンプルです。企業本番環境ならSSOプロファイル(方法C)または直接のIdP統合が推奨されています。APIキー(方法E)は概念実証(PoC)向けで、本番では使わない方がいい。
室谷セキュリティリスクがあるんですよね。APIキーは有効期限なし・MFAなしで使えてしまうので、誤ってリポジトリにコミットしたときのリスクが大きい。
MYUUUのエンジニアにも「APIキーは試すだけ」と念を押しています。
MYUUUのエンジニアにも「APIキーは試すだけ」と念を押しています。
Claude Codeの環境変数設定
テキトー教師ステップ3がClaude Code側の設定です。環境変数を2つ設定するだけで動きます。
# Bedrock連携を有効化
export CLAUDE_CODE_USE_BEDROCK=1
export AWS_REGION=us-east-1 # 使用するリージョン
# Bedrockでは /login と /logout は無効になる
# 認証はAWS認証情報で処理される
AWS_REGIONが必須なのが地味に重要です。.aws/configファイルのデフォルトリージョン設定は読まれないので、環境変数で明示的に指定しないといけない。これでハマる人がいます。
テキトー教師あとBedrockを有効にすると、Claude Codeの
/loginと/logoutコマンドが無効になります。認証はAWS側で管理するので、Anthropicアカウントには紐づかなくなる。室谷セッション切れのときの挙動も変わりますね。SSO認証情報が期限切れになったとき、Claude Codeが自動的に
これは設定ファイルに書けます。
awsAuthRefreshコマンドを実行して認証情報を取得し直してくれる。これは設定ファイルに書けます。
{
"awsAuthRefresh": "aws sso login --profile myprofile",
"env": {
"AWS_PROFILE": "myprofile"
}
}
ブラウザが自動で開いてSSOフローを実行してくれるので、長時間作業していて認証切れになっても手動でやり直す必要がない。講座の受講生さんにこれを教えると「こんな設定あったんですか」という反応がよく来ます。
モデルバージョンの固定(重要)
室谷ステップ4が見落とされがちで、モデルバージョンの固定です。
テキトー教師公式ドキュメントに「デプロイするなら必ずPinしてください」と強調して書いてあるんですよね。Anthropicが新しいモデルをリリースするたびに、エイリアス(sonnet、opus、haiku)が新バージョンに向き直る。
Bedrockアカウントで新バージョンへのアクセス申請が済んでいないと、突然動かなくなる。
Bedrockアカウントで新バージョンへのアクセス申請が済んでいないと、突然動かなくなる。
室谷企業デプロイで最悪のシナリオですね。月曜朝にエンジニアが全員「Claude Codeが動かない」となる。
Bedrockアカウント側でモデルアクセス申請していないと、新しいモデルはブロックされる。
Bedrockアカウント側でモデルアクセス申請していないと、新しいモデルはブロックされる。
テキトー教師防ぐには、Bedrock固有のモデルIDで固定します。
export ANTHROPIC_DEFAULT_OPUS_MODEL='us.anthropic.claude-opus-4-6-v1'
export ANTHROPIC_DEFAULT_SONNET_MODEL='us.anthropic.claude-sonnet-4-6'
export ANTHROPIC_DEFAULT_HAIKU_MODEL='us.anthropic.claude-haiku-4-5-20251001-v1:0'
us.プレフィックスはクロスリージョン推論プロファイルIDです。AWSが複数リージョンに負荷分散してくれる。global.プレフィックスのグローバルプロファイルもあって、こちらはより広い範囲でのルーティングになります。IAMポリシーの設定
室谷Bedrockで必要なIAMポリシーについても整理しましょう。最小権限で動かすには3つのアクションが必要です。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowModelAndInferenceProfileAccess",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream",
"bedrock:ListInferenceProfiles"
],
"Resource": [
"arn:aws:bedrock:*:*:inference-profile/*",
"arn:aws:bedrock:*:*:application-inference-profile/*",
"arn:aws:bedrock:*:*:foundation-model/*"
]
}
]
}
InvokeModelとInvokeModelWithResponseStreamがモデル呼び出しで、ListInferenceProfilesが利用可能なプロファイルの一覧取得です。セキュリティを厳しくしたい場合は、ResourceのARNを特定のプロファイルに絞ることもできます。室谷コスト管理の観点では、開発環境と本番環境でAWSアカウントを分けることがAWS公式ブログでも推奨されています。Claude Code専用のAWSアカウントを作ると、メリットが5つあります。
- クォータ管理が簡単になる(一箇所で把握できる)
- コスト可視性が高い(Cost ExplorerでClaude Codeの費用だけが見える)
- セキュリティが一元化される(CloudTrailが一箇所に集まる)
- 本番環境を守れる(Claude Codeがクォータを使い果たしても本番に影響しない)
- 部門別の課金配賦ができる(OpenTelemetryと組み合わせて)
テキトー教師MYUUUでも開発ツール用のAWSアカウントは分けているんですか?
室谷分けています。Claude Codeのコストが可視化されると、どのチームがどれだけ使っているかが一目でわかる。
ROIを計算するときに数字が出てくるので、経営者としては非常に助かります。
ROIを計算するときに数字が出てくるので、経営者としては非常に助かります。
Claude CodeからAWSを操作する:AWS MCPサーバー
テキトー教師ここからが「もう1つの方向」、Claude CodeをツールとしてAWSを操作する話です。
室谷2025年にAWSがオープンソースのMCPサーバー群を公開していて、これが本当に使い勝手がいいんですよ。
awslabsのGitHubリポジトリに66種類のMCPサーバーがあって、インフラ管理からデータ分析まで一通り揃っています。テキトー教師Claude Code側でMCPサーバーを設定すれば、会話だけでAWSの操作ができるようになります。「S3の特定バケットの中身を確認して」「このLambda関数のエラーログを見て」というのを自然言語で投げると、Claude Codeが実際のAWS APIを叩いてくれる。
室谷MCPサーバーは用途ごとに選んで入れるイメージです。まず入れておきたいのが2つあります。
AWS Documentation MCPサーバー
テキトー教師1つ目がAWS Documentation MCPサーバーです。設定は
~/.claude.jsonに書きます。{
"mcpServers": {
"awslabs.aws-documentation-mcp-server": {
"command": "uvx",
"args": ["awslabs.aws-documentation-mcp-server@latest"],
"env": {
"FASTMCP_LOG_LEVEL": "ERROR"
}
}
}
}
これを入れると、「このAWSサービスの仕様は?」「この設定の意味は?」という質問に対して、Claude Codeがリアルタイムで公式ドキュメントを参照して答えてくれます。モデルの学習カットオフ以降の新しいサービスやAPIの情報も取れる。
テキトー教師受講生さんでよくある問題が「Claudeが古いAWSのAPIを使ったコードを生成する」なんですよ。モデルの学習データが数ヶ月古いので、最新の推奨パターンと違うコードを書いてしまう。
ドキュメントMCPを入れると、そこが改善されます。
ドキュメントMCPを入れると、そこが改善されます。
Amazon Bedrock Knowledge Base MCPサーバー
室谷2つ目がBedrock Knowledge Base MCPサーバーです。社内のドキュメントやナレッジをAmazon Bedrock Knowledge Baseに入れておくと、Claude CodeからRAGで参照できるようになります。
テキトー教師「うちの社内コーディング規約に従って実装して」という使い方ができるんですよね。これ、.AIのコミュニティのメンバーさんが最初に驚く使い方の1つです。
室谷MYUUUでも試していますが、社内の設計ドキュメントをKnowledge Baseに入れておいて、Claude Codeに「この機能の実装について社内ガイドラインを確認して」と言うと、Confluenceやドキュメントを自分で探してくる。以前は人間が探していた作業を自動化できる。
テキトー教師設定には前提条件があって、
mcp-multirag-kbというタグが付いたBedrock Knowledge Baseが必要です。タグがないと認識されないので注意です。{
"mcpServers": {
"awslabs.bedrock-kb-retrieval-mcp-server": {
"command": "uvx",
"args": ["awslabs.bedrock-kb-retrieval-mcp-server@latest"],
"env": {
"AWS_PROFILE": "your-profile",
"AWS_REGION": "us-east-1"
}
}
}
}
エンタープライズデプロイのベストプラクティス
室谷ここからはチームや企業でClaude Code + AWSを使う場合の話です。AWSが公開している「guidance-for-claude-code-with-amazon-bedrock」というCDKソリューションが参考になります。
テキトー教師認証方式の選択が最初の大きな決断ですね。個人テストと企業本番では全然違う。
認証方式の比較
テキトー教師整理すると4つの認証パターンがあります。
| 認証方式 | セキュリティ | セットアップ時間 | モニタリング | 向いているシーン |
|---|---|---|---|---|
| Bedrock APIキー | 低 | 数分 | なし | 検証・PoC |
| aws login(コンソール認証) | 中 | 数分 | 限定的 | テスト・小規模 |
| SSO(IAM Identity Center) | 高 | 数時間 | 限定的 | 中規模組織 |
| 直接IdP統合(Okta/Azure AD等) | 高 | 数時間 | 完全 | 本番・大規模 |
室谷本番は直接IdP統合一択ですね。OktaやAzure ADと連携させると、社員のIDでAWSのIAMロールを引き受けられる。
退職したときのアクセス権剥奪も一元管理できる。
退職したときのアクセス権剥奪も一元管理できる。
テキトー教師コストの可視化もできますよね。誰が何トークン使っているかが部門・チームレベルで追跡できる。
OpenTelemetryと組み合わせると、追加されたコード行数や修正されたファイル数まで記録できます。
OpenTelemetryと組み合わせると、追加されたコード行数や修正されたファイル数まで記録できます。
モニタリングとコスト管理
室谷モニタリングは段階的に拡張していくのが現実的です。最初はCloudWatchの基本メトリクスだけで十分で、組織が大きくなったらOpenTelemetryを追加する。
テキトー教師MYUUUでやっていて実感しているのが、「コストの見える化」がチームの使い方を変えるということですか?
室谷そうです。「この人は1日2時間分の開発時間を削減できている」という数値が出ると、ROIの議論がしやすくなる。
感覚ではなく数字で話せるようになります。具体的にはCloudWatchで呼び出し回数やレイテンシーを監視して、コスト超過アラートを設定する。
企業規模になったら、Amazon S3に詳細ログを保存してAthenaで分析する、という形に進化させています。
感覚ではなく数字で話せるようになります。具体的にはCloudWatchで呼び出し回数やレイテンシーを監視して、コスト超過アラートを設定する。
企業規模になったら、Amazon S3に詳細ログを保存してAthenaで分析する、という形に進化させています。
1Mトークンコンテキストウィンドウ
テキトー教師BedrockでClaude Codeを使う場合の注目機能として、1Mトークンのコンテキストウィンドウがあります。Claude Opus 4.6とSonnet 4.6がBedrockで1Mトークンに対応しています。
室谷これ、大規模なコードベースを扱うときに本当に効いてきますよ。通常のコンテキストウィンドウだと「ファイルが多すぎて読み込めない」という問題が出るんですが、1Mあると大規模なモノリスも丸ごと読ませられる。
MYUUUのプロジェクトでも試しましたが、全ファイル読み込みでの分析が現実的になりました。
MYUUUのプロジェクトでも試しましたが、全ファイル読み込みでの分析が現実的になりました。
テキトー教師有効化するにはモデルIDに
[1m]を付けるだけです。# 1Mトークンコンテキストウィンドウを有効化
export ANTHROPIC_DEFAULT_SONNET_MODEL='us.anthropic.claude-sonnet-4-6[1m]'
AWS Guardrailsによるコンテンツ制御
室谷企業ユースケースで重要なのがGuardrailsです。Amazon Bedrockの機能で、コンテンツフィルタリングをClaude Code経由の呼び出しにも適用できます。
テキトー教師業種によっては必須ですよ。金融や医療だと、特定のキーワードや機密情報がClaudeに送られるのを防がないといけないケースがある。
Guardrailsを設定すればAWSレベルでフィルタリングできる。
Guardrailsを設定すればAWSレベルでフィルタリングできる。
室谷設定はClaude Codeの設定ファイルにGuardrailのヘッダーを追加するだけです。
{
"env": {
"ANTHROPIC_CUSTOM_HEADERS": "X-Amzn-Bedrock-GuardrailIdentifier: your-guardrail-id\nX-Amzn-Bedrock-GuardrailVersion: 1"
}
}
BedrockコンソールでGuardrailを作って、バージョンを発行してからIDを取得する。クロスリージョン推論プロファイルを使っている場合は、Guardrailの「クロスリージョン推論を有効化」をオンにしておく必要があります。
トラブルシューティング
室谷Bedrock接続でよくあるトラブルを整理しておきましょう。まずはSSOのループ問題です。
テキトー教師これは社内ネットワーク環境でよく起きます。VPNやTLSインスペクションプロキシがSSOブラウザフローを遮断するんですよ。
Claude Codeが「認証失敗」と判断して
Claude Codeが「認証失敗」と判断して
awsAuthRefreshを繰り返し実行してしまう。コミュニティのメンバーさんからも「ブラウザが何回も開く」という報告が来ます。室谷対処法は2つ。1つは設定ファイルから
もう1つは、ネットワーク担当にTLSインスペクションからAWSのSSO URLを除外してもらう。
awsAuthRefreshを削除して、Claude Codeを起動する前に手動でaws sso loginを実行しておく。もう1つは、ネットワーク担当にTLSインスペクションからAWSのSSO URLを除外してもらう。
テキトー教師リージョンエラーもよくあります。「Claude Sonnet 4.6が使えない」という場合、そのリージョンでモデルが利用可能かを確認する必要があります。
# 利用可能な推論プロファイルを確認
aws bedrock list-inference-profiles --region your-region
「on-demand throughput isn't supported」というエラーが出たら、モデルIDを推論プロファイルIDで指定し直します。リージョンによっては対応しているモデルが異なるので、
us-east-1が一番対応範囲が広いですね。まとめ:Claude Code × AWSの全体像
テキトー教師今回のポイントを振り返ると、Claude Code × AWSには2つの方向があって、どちらも価値があります。
室谷個人レベルなら「BedrockをバックエンドにしてClaude Codeを動かす」設定が数分でできます。
CLAUDE_CODE_USE_BEDROCK=1とAWS_REGIONを設定するだけ。テキトー教師チームレベルになったら認証方式の設計が重要になります。SSOかIdP直接統合か、モデルバージョンの固定もやっておく。
Claude Code専用のAWSアカウントを作るのがベストプラクティスです。
Claude Code専用のAWSアカウントを作るのがベストプラクティスです。
室谷そしてClaude CodeからAWSを操作するAWS MCPサーバーを入れると、インフラ管理やAWSドキュメントの参照が自然言語でできるようになる。2つの方向を組み合わせたときに、Claude CodeとAWSの真価が発揮されます・・・
テキトー教師2026年時点では、エンタープライズでのClaude Code導入を考えている企業のほとんどがBedrock経由を検討しています。既にAWSを使っている組織なら、IAMやコスト管理の仕組みをそのまま流用できるのが大きなメリットですよね。
よくある質問
Q: Bedrock経由でClaude Codeを使うと料金はどうなる?
室谷AnthropicのProプランやMaxプランとは別途、AWSのBedrock料金が発生します。Bedrockはトークン従量課金なので、使った分だけ支払う形です。
詳細な料金はで確認してください。Bedrockのモデル料金はリージョンによって異なります。
詳細な料金はで確認してください。Bedrockのモデル料金はリージョンによって異なります。
テキトー教師AnthropicのProプランを持っていても、Bedrock経由で使う場合はBedrock側の料金になります。どちらがコストメリットがあるかは使用量と状況によって変わりますが、企業での一括請求・コスト管理はBedrockの方が便利なことが多いです。
Q: Bedrockを使うと機能に制限はある?
テキトー教師一部あります。
基本的なコーディング支援機能は全て使えます。
/loginと/logoutコマンドが無効になる点と、プロンプトキャッシングが一部リージョンでは使えない可能性がある点です。基本的なコーディング支援機能は全て使えます。
室谷あと初回セットアップ時に対話型ウィザードがあって、
claude loginで「3rd-party platform」→「Amazon Bedrock」を選ぶと、設定を自動で案内してくれます。手動で環境変数を書くより簡単なので、最初はこちらがおすすめです。Q: AWS MCPサーバーを使うのに別途料金はかかる?
室谷AWS MCPサーバー自体は無料のオープンソースです。ただし、AWSのAPIを呼び出すので、S3やDynamoDB等のAPIコールに応じたAWS料金が発生する可能性はあります。
通常のAWSサービス利用料金の範囲内ですね。
通常のAWSサービス利用料金の範囲内ですね。