AWS上のClaude Platform

AWS上のClaude Platformでは、Messages API、Agent Skills、コード実行、ベータ機能を含む完全なAnthropicプラットフォーム体験を、AWSアカウントを通じて利用できます。AWSが推論スタックを運用するAmazon Bedrockとは異なり、AWS上のClaude PlatformはAnthropicが運用します。AWSは認証レイヤー（SigV4またはAPIキー）、IAMベースのアクセス制御、およびAWS Marketplaceを通じた請求統合を提供します。

プラットフォーム統合の仕組み

ClaudeモデルはAnthropicが管理するインフラストラクチャ上で実行されます。これはAWSを通じた請求とアクセスのための商用統合です。推論の入力と出力についてはAnthropicがデータ処理者となり、AWSはマーケットプレイスモデルの下で請求およびIDメタデータを処理します。AWS上のClaude Platformを通じてClaudeを使用するお客様は、Anthropicのデータ利用規約の対象となります。Anthropicは引き続き業界をリードする安全性とデータに関するコミットメントを提供します。

次の運用上の特性にご注意ください。データはAWS内に存在しない場合があります。推論はAnthropicのプライマリクラウドにルーティングされる場合があります。また、サブサービスは予告なく内部的に変更される場合があります。推論を特定の地域に固定するには、リクエストごとにinference_geoパラメータを設定してください。

AWS上のClaude Platformは、ファーストパーティのClaude APIと同じデータ保持ポリシーに従います。「Zero Data Retention」（ゼロデータ保持）、すなわちZDRはリクエストに応じて利用可能です。組織で有効にするには、Anthropicのアカウント担当者にお問い合わせください。

AWS上のClaude PlatformとAmazon Bedrockの比較

どちらの提供形態でもAWSを通じてClaudeを使用できますが、アーキテクチャ、APIサーフェス、機能の可用性において大きく異なります。

AWSが運用するClaudeが必要な場合は、Amazon BedrockのClaudeを参照してください。AWS上のClaude Platformは、ファーストパーティのClaude APIおよびAmazon Bedrockの両方とは別のキャパシティプールを使用します。複数のプラットフォームでワークロードを実行し、それらの間でフェイルオーバーすることができます。

VPCをAWS上のClaude Platformエンドポイントに接続するために、AWS PrivateLinkがサポートされています。

Bedrockを選択すべき場合： FedRAMP High、IL4、IL5、またはHIPAA対応のコンプライアンスが必要な規制業界の組織、またはAWSを唯一のデータ処理者とする必要がある組織は、Amazon BedrockのClaudeを使用してください。Bedrockは完全にAWSが管理するインフラストラクチャ上で実行され、AWSが運用主体となります。

アカウントのセットアップ

AWS上のClaude Platformのセットアップは4つのフェーズで行われます。AWS Consoleのサービスページでサインアップし、Anthropic組織のセットアップを完了し、ワークスペースIDを確認し、Claude Consoleにサインインします。

アカウントセットアップのトラブルシューティング

• 「Sign-up failed: Failed to enable OutboundWebIdentityFederation」： 最初の送信時にこのバナーが表示された場合は、もう一度Continueを選択してください。IAMの有効化が反映されるまで少し時間がかかることがあります。
• サインアップ中に進行状況インジケーターが表示されない： サインアップには数分かかります。AWSがアカウントをプロビジョニングしている間、ページにはプログレスバーのない静的なSign-up in progressバナーが表示されます。
• セットアップリンクをたどった後に「Signed in as a different account」と表示される： Log out and continueを選択してください。入力したメールアドレスでページが再認証されます。
• サインイン中に「Not found」メッセージが表示される： このメッセージはリダイレクト中に一時的に表示されることがあります。閉じて構いません。
• 最初のAPI呼び出し後にUsageページにデータが表示されない： 使用状況データがClaude Consoleに表示されるまで数分かかることがあります。

API呼び出しを行う前に

以下を確認してください。

1. AWS上のClaude Platformへのサブスクリプションを持つアクティブなAWSアカウント（アカウントのセットアップを参照）
2. AWS CLIがインストールおよび設定されていること
3. AWSアカウントでアウトバウンドWeb IDフェデレーションが有効化されていること（一度限りのセットアップ手順。アウトバウンドWeb IDフェデレーションを有効にするを参照）
4. ワークスペースID（ワークスペースIDを取得するを参照）

アウトバウンドWeb IDフェデレーションを有効にする

AWS上のClaude Platformゲートウェイは、サーバー側でsts:GetWebIdentityTokenを呼び出してJWTを発行し、それをAnthropicに転送します。このSTS機能は、すべてのAWSアカウントでデフォルトで無効になっています。アカウントごとに一度有効にしてください。

aws iam enable-outbound-web-identity-federation

レスポンスが[ERROR] (FeatureEnabled) ... already enabledの場合、この設定はすでにアカウントで有効になっているため、次に進むことができます。アカウントの発行者URLを確認および取得します。

aws iam get-outbound-web-identity-federation-info

ワークスペースIDを取得する

アカウントセットアップの完了後、AWS Consoleからワークスペースを作成します（アカウントのセットアップを参照）。ワークスペースは単一のAWSリージョンにバインドされます。ワークスペースIDは、Claude ConsoleのWorkspaces、またはAWS ConsoleサービスページのWorkspacesセクションで確認できます。

SDKクライアントが自動的に読み取れるように、ANTHROPIC_AWS_WORKSPACE_IDおよびAWS_REGION環境変数を設定します。

export ANTHROPIC_AWS_WORKSPACE_ID='wrkspc_01AbCdEf23GhIj'
export AWS_REGION='us-west-2'  # Your workspace's AWS region

リージョンは必須です。リージョンが設定されていない場合、SDKクライアントはエラーを発生させます。コンストラクタにaws_region/awsRegionを渡すか、AWS_REGION（またはAWS_DEFAULT_REGION）を設定してください。すべてのAWS商用リージョンがサポートされています。

認証

AWS上のClaude Platformは、SigV4リクエスト署名を使用したAWS IAM（プライマリ）とAPIキー認証の2つの認証方法をサポートしています。どちらも同じベースURLとリクエスト形式を使用します。

SigV4認証

SigV4はエンタープライズネイティブなパスであり、既存のAWS IAMポリシー、ロール、監査と統合されます。AWSデフォルト認証情報プロバイダーチェーンでサポートされている任意の方法を使用してAWS認証情報を設定します。

• 環境変数（AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY、AWS_SESSION_TOKEN）
• 共有認証情報ファイル（~/.aws/credentials）
• SSOおよびcredential_processを含む共有設定ファイル（~/.aws/config）
• IRSAおよびGitHub Actions用のWeb ID（AWS_WEB_IDENTITY_TOKEN_FILEおよびAWS_ROLE_ARN）
• ECSコンテナ認証情報
• EC2インスタンスメタデータサービス（IMDS）

認証情報が機能していることを確認します。

aws sts get-caller-identity

APIキー認証

よりシンプルな統合パス（ローカル開発やスクリプト）の場合、SigV4の代わりにAPIキーで認証できます。ANTHROPIC_AWS_API_KEY環境変数を設定するか、SDKコンストラクタにapiKeyを渡します。

APIキーは、AWS ConsoleのClaude Platform on AWS → API keysで生成します。Generate a keyを選択し、キーの値をコピーします。APIキー認証の使用を許可するプリンシパルにaws-external-anthropic:CallWithBearerToken IAMアクションを付与してください。

短期APIキー

認証情報を別のプロセス（LLMゲートウェイ、サーバーレス関数、またはベアラートークン認証はサポートするがSigV4はサポートしないツールなど）に渡す必要があるワークロードの場合、AWS Consoleで長期キーをプロビジョニングする代わりに、AWS認証情報から短期APIキーを生成します。

AWSはJavaScript、Python、Java用のトークンジェネレーターライブラリを公開しています。各ライブラリは標準のプロバイダーチェーンを通じてAWS認証情報を読み取り、x-api-keyヘッダーで機能する時間制限付きトークンを返します。トークンの有効期間はデフォルトで12時間で、リクエストした期間、AWS認証情報の有効期限、12時間のうち最も短いものが上限となります。インストールと完全な設定オプションについては、リンク先のリポジトリのREADMEを参照してください。

生成されたトークンは、AWS Consoleで生成されたAPIキーを渡すのと同じ方法でSDKに渡します。

トークンをローカルで生成できる場合、そのプロセスはすでにSigV4認証情報を持っているため、通常はSigV4認証の方がシンプルな選択肢です。API呼び出しを行うプロセスがAWS認証情報を保持するプロセスと別である場合に、短期キーを使用してください。

SDKは短期キーを自動的に更新しません。トークンの有効期限が切れたら、新しいトークンを生成して新しいクライアントを構築してください。トークンを使用するプリンシパルには、引き続きaws-external-anthropic:CallWithBearerToken IAMアクションが必要です。

認証情報の優先順位

プラットフォーム固有のクライアントは、次の順序で認証を解決します。引数名は言語の規約によって異なります（TypeScriptとPHPは以下に示すようにcamelCaseを使用し、PythonとRubyはsnake_caseを使用し、Goは大文字の頭字語を含むPascalCaseを使用し、C#とJavaは言語のプロパティまたはビルダーのイディオムを使用します）。

1. apiKeyコンストラクタ引数 → x-api-keyヘッダー
2. awsAccessKey + awsSecretAccessKeyコンストラクタ引数 → AWS SigV4
3. awsProfileコンストラクタ引数 → 名前付きプロファイルを使用したAWS SigV4
4. ANTHROPIC_AWS_API_KEY環境変数 → x-api-keyヘッダー
5. デフォルトのAWS認証情報プロバイダーチェーン → AWS SigV4

リージョンの解決

aws_region/awsRegionがコンストラクタに渡されない場合、クライアントは環境からAWS_REGIONを読み取り、標準のAWS SDKとの互換性のためにAWS_DEFAULT_REGIONにフォールバックします。リージョンは必須であり、フォールバックのデフォルト値はありません。us-east-1にフォールバックするAnthropicBedrockとは異なり、AnthropicAWS/AnthropicAwsクライアントは、コンストラクタ引数も環境変数も設定されていない場合にエラーを発生させます。

SDKのインストール

AnthropicのクライアントSDKはAWS上のClaude Platformをサポートしています。各SDKは、SigV4署名、リージョンベースのベースURL構築、anthropic-workspace-idヘッダーを処理するプラットフォーム固有のクライアントクラスを提供します。

利用可能なモデル

AWS上のClaude Platformでは、次のモデルが利用可能です。

モデルIDはファーストパーティのClaude APIと同一です。BedrockスタイルのARNやanthropic.プレフィックスはありません。

新しいモデルは、ファーストパーティのClaude APIと同時にAWS上のClaude Platformでリリースされます。

リクエストの実行

AWS上のClaude Platformは、ファーストパーティのClaude APIと同じAPIエンドポイントを使用します。違いは、ベースURL、認証方法、およびリクエストの対象となるワークスペースを識別する必須のanthropic-workspace-idヘッダーです。

クライアントは環境からAWS_REGION（またはAWS_DEFAULT_REGION）とANTHROPIC_AWS_WORKSPACE_IDを読み取ります。コンストラクタにaws_region / awsRegionまたはworkspace_id / workspaceIdを渡すことで、いずれかをオーバーライドできます。リージョンとワークスペースIDの両方が必須です。ワークスペースIDを解決できない場合、コンストラクタはエラーを発生させます。リージョンが欠落している場合も同様にエラーが発生します。

--aws-sigv4の値はaws:amz:<region>:<service>の形式に従います。SigV4サービス名はaws-external-anthropicであり、リージョンはエンドポイントURLのリージョンと一致する必要があります。いずれかが一致しない場合、具体的な診断ではなく一般的な署名拒否エラーが発生します。

コンテキストウィンドウ

AWS上のClaude Platformのコンテキストウィンドウサイズは、ファーストパーティのClaude APIと同一です。モデルごとの制限については、コンテキストウィンドウを参照してください。

機能サポート

AWS上のClaude PlatformはClaude APIエンドポイントを直接使用するため、ファーストパーティのClaude APIと完全な機能パリティが得られます（機能の制限に記載されている場合を除く）。

• 機能アクセス： Anthropicが両方のプラットフォームを運用しているため、ほとんどの新機能とベータヘッダーは、別途の統合手順なしでAWS上のClaude Platformで利用可能になります。例外については機能の制限を参照してください。
• ベータ機能： Claude APIと同様に、標準のanthropic-betaヘッダーを渡してベータ機能にアクセスします。
• Agent Skills： Claude APIと同じcontainer.skillsパラメータとベータヘッダーを使用して、事前構築済みおよびカスタムのAgent Skillsを使用します。すべての事前構築済みSkills（PowerPoint、Excel、Word、PDF）がそのまま動作します。
• コード実行： コード実行ツールを使用して、Anthropicの管理されたサンドボックスでコードを実行します。
• ツール使用： コンピュータ使用およびその他すべてのツール使用機能が利用可能です。
• 拡張思考： Claude APIと同じパラメータで拡張思考を有効にします。
• ストリーミング： リアルタイムレスポンスのための完全なSSEストリーミングサポート。
• バッチ処理： 高スループットワークロード用のバッチリクエストを送信します。

Amazon Bedrockとの機能可用性の違いについては、比較表を参照してください。

Claude Managed Agents

Claude Managed Agentsは、エージェント、環境、セッション、認証情報ボールト、メモリストア、Webhook、マルチエージェントオーケストレーション、セルフホストサンドボックスを含め、AWS上のClaude Platformで利用可能です。

AWS上のClaude Platformでのセッション動作は、ファーストパーティのClaude Managed Agentsと1点異なります。

• 自律セッションの再認証： セッションは、ユーザーイベントなしで最大6時間自律的に実行できます。6時間後、セッションは続行する前に再認証が必要です。再認証するには、任意のユーザーロールイベントをセッションに送信します（イベントとストリーミングを参照）。ファーストパーティのClaude Managed Agentsには自律セッションの実行時間制限はありません。

サポートされていない機能

次の機能は現在、AWS上のClaude Platformでは利用できません。

• HIPAA対応： AnthropicのHIPAA対応プログラムは利用できません。APIとデータ保持を参照してください。

• Admin API： ワークスペースエンドポイント（/v1/organizations/workspacesでの作成、取得、一覧表示、更新、アーカイブ）は利用可能です。その他のAdmin APIエンドポイント（組織メンバー、ワークスペースメンバー、招待、APIキー、使用状況レポート、コストレポート、レート制限レポート、外部キー）は現在利用できません。代わりにClaude ConsoleでCMEKキーを管理してください。使用状況とコストデータは代わりにClaude Consoleで確認してください。組織メンバーシップはAWS IAMが管理します。
• ワークスペースメンバー管理： 個々のワークスペースへのユーザーの追加または削除は利用できません。ワークスペースARNに対するAWS IAMポリシーがアクセスを制御します。
• 支出制限： 利用できません。代わりにAWSの請求管理を利用してください。
• Claude CodeワークスペースとAnalytics API： 自動レート制限付きのClaude Codeワークスペースは利用できません。Claude Codeの使用状況は、専用画面ではなく一般的な使用状況ビューに表示されます。
• OAuth認証： サポートされていません。SigV4またはAPIキー認証を使用してください。
• Fastモード： AWS上のClaude Platformでは利用できません。
• OpenAI互換APIエンドポイント： AWS上のClaude Platformでは利用できません。
• セルフホストサンドボックスのワークリストエンドポイント： セルフホストサンドボックスの保留中のワークを一覧表示するエンドポイントは現在利用できません。その他のワークエンドポイント（poll、ack、heartbeat、stop、post results、アイテムごとのget、stats）は正常に動作します。

データレジデンシー

AWS上のClaude Platformは、次の推論地域をサポートしています。

• US： 推論は米国のデータセンター内に留まります。1.1倍の価格乗数が適用されます。
• Global： 推論は世界中のAnthropicが運用する任意のデータセンターにルーティングされる可能性があります。標準価格が適用されます。

inference_geoパラメータを使用して、リクエストごとに推論地域を設定します。

inference_geoを省略した場合、リクエストはワークスペースのdefault_inference_geoが設定されていればそれを使用し、設定されていなければglobalを使用します。

ワークスペースレベルの推論地域制御（allowed_inference_geosおよびdefault_inference_geo）もAWS上のClaude Platformで利用可能です。ワークスペースレベルの制限を参照してください。

ワークスペース

AWS上のClaude Platformでの推論およびリソースリクエストは、ワークスペースを対象とします。これらのAPI呼び出しでは、anthropic-workspace-idヘッダーにワークスペースのIDを渡します。ワークスペースIDは、wrkspc_の後に英数字の識別子が続くタグ付き形式を使用します（例：wrkspc_01AbCdEf23GhIj）。まだ取得していない場合は、ワークスペースIDを取得するを参照してください。

ワークスペースのスコープ

ワークスペースは単一のAWSリージョンにバインドされます。us-west-2で作成されたワークスペースは、us-west-2エンドポイントを通じてのみアクセスできます。使用状況、クォータ、コスト、ファイル、バッチ、Skillsはすべてワークスペースごとに集計され、Claude Consoleでリージョンごとの内訳を確認できます。

ワークスペースは、AWS上のClaude Platformの主要なIAMリソースとしても機能します。ワークスペースARNを使用したAWS IAMポリシーを通じて、特定のワークスペースへのアクセスを許可または拒否します。ARNのリソースセグメントは、anthropic-workspace-idヘッダーで渡すのと同じwrkspc_プレフィックス付きIDです。

arn:aws:aws-external-anthropic:{region}:{account-id}:workspace/{workspace-id}

例：

arn:aws:aws-external-anthropic:us-west-2:123456789012:workspace/wrkspc_01AbCdEf23GhIj

ポリシーの例については、IAMポリシーを参照してください。

ワークスペースの管理

追加のワークスペースの作成、ワークスペースの名前変更、ワークスペースのアーカイブは、AWS ConsoleのWorkspacesページまたはAdmin APIのワークスペースエンドポイントから行います。新しいワークスペースは、作成時に呼び出したエンドポイントのAWSリージョンにバインドされます（ワークスペースのスコープを参照）。Claude ConsoleのWorkspacesページは読み取り専用です。

Claude Consoleの使用

AWS上のClaude Platformは、platform.claude.comの標準Claude Consoleを使用します。AWS Consoleからサインインすると、Claude Consoleサイドバーの左下にAccount managed by AWSインジケーターが表示され、ConsoleはAWS上のClaude Platform組織にスコープされます。使用状況分析、コスト内訳、レート制限の可視性、ワークスペースの可視性、およびファイル、Agent Skills、バッチジョブ、Claude Managed Agentsリソース（エージェント、セッション、環境、認証情報ボールト、メモリストア、Webhook）を管理するためのページが提供されます。

サインイン

Claude ConsoleへのアクセスはAWS IAMを通じてフェデレーションされます。初回サインインの完全なフローについては、アカウントのセットアップを参照してください。要約すると：

1. aws-external-anthropic:AssumeConsole権限を持つIAMロールを引き受けます。AWS上のClaude PlatformのIAMアクションを参照してください。
2. AWS ConsoleのClaude Platform on AWSページに移動します。
3. Open Claude Consoleを選択します。AWS ConsoleがJWTを発行し、platform.claude.comにリダイレクトします。
4. 初回サインイン時にメールアドレスの入力を求められます。仕事用のメールアドレスを入力してください。プラットフォームがClaude Consoleユーザーをジャストインタイムでプロビジョニングします。

2つのClaude Consoleロールが利用可能です：AdminとDeveloper。Adminロールは、AWS上のClaude Platformで利用可能なすべてのClaude Consoleページと設定へのアクセスを付与します。Developerロールは、使用状況、コスト、レート制限、ワークスペース情報への読み取りアクセスを付与します。プリンシパルにAdminまたはDeveloperロールを割り当てるには、Anthropicのアカウント担当者にお問い合わせください。

利用可能なページ

AWSゲートウェイ経由の列は、そのページがAWSゲートウェイを通じてデータの読み書きを行うかどうか（したがってIAMアクションによって制御されるかどうか）を示しています。いいえと記載されているページは、Anthropicから直接組織レベルのメタデータを読み取り、IAMアクションのチェックをバイパスします。

組織の切り替え

Claude Consoleは、Claude Platform on AWSでの組織切り替えをサポートしていません。別の組織にアクセスするには、サインアウトしてから、その組織のAWSアカウントのIAMロールを使用してAWSコンソール経由で再認証してください。

レート制限とクォータ

Claude Platform on AWSは、サインアップ時にTier 1のレート制限を割り当てます。レート制限はAWSのクォータシステムではなく、Anthropicが直接管理します。

ファーストパーティのClaude APIとは異なり、自動的なティア昇格は適用されません。より高い制限が必要な場合は、Anthropicのアカウント担当者にお問い合わせください。ティアの詳細とモデルごとの制限については、レート制限を参照してください。

請求

Claude Platform on AWSはAWS Marketplaceを通じて請求されます。使用量は「Claude Consumption Unit」（Claude消費ユニット）、すなわちCCUで表され、1時間ごとに計測され、AWSの請求書で月次後払いで請求されます。CCUは前払いクレジットではなく、CCU残高やコミットメントはありません。

CCUの価格、換算の仕組み、割引の適用、モデルごとのトークン料金については、Claude Platform on AWSの料金を参照してください。

モニタリングとロギング

AWS CloudTrailは、Claude Platform on AWSへのすべてのリクエストをキャプチャできます。ワークスペース、ボールト、Webhookの操作は、デフォルトでManagementイベントとしてログに記録されます。推論、バッチ、ファイル、スキル、モデル、ユーザープロファイル、およびClaude Managed Agentsの操作（ボールトとWebhookを除く）はDataイベントとして分類され、明示的なデータイベントロギング設定が必要です。これには追加のCloudTrail料金が発生します。イベントタイプの完全な分類についてはIAMアクションリファレンスを、設定の詳細についてはAWS CloudTrailドキュメントを参照してください。

リクエストID

各レスポンスには、レスポンスヘッダーに2つのリクエストIDが含まれています。

• AWSリクエストID（x-amzn-requestid）： プライマリIDで、CloudTrailでインデックス化されます。AWSツールを通じてリクエストを調査する場合や、AWSサポートに問い合わせる場合はこれを使用してください。
• AnthropicリクエストID（request-id）： セカンダリIDです。Anthropicサポートに問い合わせる場合はこれを使用してください。

Anthropicは、使用パターンを把握し、潜在的な問題を調査するために、少なくとも30日間のローリングベースでアクティビティをログに記録することを推奨しています。

Amazon Bedrockからの移行

現在BedrockでClaudeを使用している場合、Claude Platform on AWSへの移行には統合全体にわたる変更が必要です。SigV4署名は引き続きサポートされますが、署名コンテキスト、ベースURL、API形式、モデルID、SDKクライアントとパッケージ、ストリーミング形式、リクエストヘッダー、リージョンの可用性がすべて変更されます。以下の表に相違点をまとめています。

変更点

移行の差分は、どのBedrock統合から移行するかによって異なります。以下の表は、現行のBedrock統合（bedrock-mantle.{region}.api.awsのMessages API）とレガシーInvokeModel統合の両方を示しています。

現行のBedrock統合を使用している場合、リクエストボディの形式はすでにMessages APIです。変更点はベースURL、SigV4サービス名、モデルID、およびanthropic-workspace-idヘッダーの追加です。レガシーのInvokeModelまたはConverse APIを使用している場合は、リクエストとレスポンスの形式もMessages API形式に書き換える必要があります。リクエスト形式のマッピングについては、Claude on Amazon Bedrock（レガシー）を参照してください。

得られるメリット

• 新しいモデルや機能への通常は当日中のアクセス（機能の制限を参照）
• ドキュメント生成用のAgent Skills（PowerPoint、Excel、Word、PDF）
• Anthropicのマネージドサンドボックスでのコード実行
• anthropic-betaヘッダーを通じたベータ機能（機能の制限を参照）
• クォータの可視化と使用状況分析のためのClaude Console
• Anthropicによる直接サポート
• SigV4の代替としてのAPIキー認証（APIキー認証を参照）

変わらない点

• AWS IAM認証（SigV4）
• 請求元としてのAWS（請求チャネルはネイティブAWSサービスからAWS Marketplaceに変更されます。商用面の考慮事項を参照）
• AWSコミットメントの消化

移行時の注意点

商用面の考慮事項

• Anthropicの利用規約： Claude Platform on AWSを使用するには、Anthropicの商用利用規約および使用ポリシーへの同意が必要です。組織がこれらにまだ同意していない場合（たとえば、Bedrockを通じてのみClaudeを使用していた場合）、アカウント設定時に同意を求められます。アカウントの設定を参照してください。
• 割引とプライベートオファー： 交渉済みの割引やAWS Marketplaceのプライベートオファーは、BedrockとClaude Platform on AWSの間で自動的に引き継がれません。Claude Platform on AWSの商用条件を設定するには、Anthropicのアカウント担当者にご相談ください。

IAMポリシー

Claude Platform on AWSは、アクセス制御のためにAWS IAMと統合されています。標準のIAMポリシー構文を使用して、特定のワークスペースに対する特定のAPIアクションへのアクセスを許可または拒否します。

SigV4サービス名およびIAMアクションの名前空間はaws-external-anthropicです。アクションはaws-external-anthropic:<Action>のパターンに従います（例：aws-external-anthropic:CreateInference）。

例：バッチ推論の拒否

以下のポリシーは、バッチ処理をブロックしながらリアルタイム推論を許可します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "aws-external-anthropic:CreateInference",
        "aws-external-anthropic:CountTokens",
        "aws-external-anthropic:GetModel",
        "aws-external-anthropic:ListModels",
        "aws-external-anthropic:GetWorkspace"
      ],
      "Resource": "arn:aws:aws-external-anthropic:*:*:workspace/*"
    },
    {
      "Effect": "Allow",
      "Action": "aws-external-anthropic:ListWorkspaces",
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "aws-external-anthropic:CreateBatchInference",
        "aws-external-anthropic:GetBatchInference",
        "aws-external-anthropic:ListBatchInferences"
      ],
      "Resource": "*"
    }
  ]
}

GetBatchInferenceアクションは、バッチメタデータルートとバッチ結果ルートの両方を認可します。これを拒否すると、両方の読み取りがブロックされます。ZDRに敏感なワークロードに適したDenyのみのポリシーについては、ZDRに敏感なワークスペースの機能ロックダウンを参照してください。

マネージドポリシー

AWSは、一般的なアクセスパターン向けに5つのマネージドポリシー（AnthropicFullAccess、AnthropicReadOnlyAccess、AnthropicInferenceAccess、AnthropicLimitedAccess、AnthropicSelfHostedEnvironmentAccess）を提供しています。各ポリシーが付与するアクション、IAMアクションの完全なリスト、ルートからアクションへのマッピング、および追加のポリシー例については、Claude Platform on AWSのIAMアクションを参照してください。

追加リソース

• Claude Platform on AWS用のClaude Console： platform.claude.com（AWSコンソール経由でアクセス）
• 料金の詳細： 料金
• Bedrock（AWSが運用するClaude）： Claude in Amazon Bedrock
• AWS Marketplace： aws.amazon.com/marketplace