🟡 🏥 実践 公開日: · 4 分で読めます ·

AWSがClaude Apps Gatewayを発表:エンタープライズチーム向けClaudeツールの一元管理

エディトリアルイラスト:企業向けClaude CodeとDesktopアプリケーション向けAWSセルフホスト管理プレーン

Amazon Web ServicesはClaude Apps Gateway for AWSを発表した。エンタープライズチームが長期存続のクレデンシャルを開発者に配布することなく、Claude CodeとClaude Desktopへのアクセス・コスト・ポリシーを一元管理できるセルフホスト型コントロールプレーンだ。

🤖

この記事はAIにより一次情報源から生成されました。

Amazon Web ServicesはClaude Apps Gateway for AWSを発表した。組織にClaude CodeとClaude Desktopツールのデプロイメントに対する集中管理を提供するセルフホスト型ソリューションだ。目標はエンタープライズAI採用の3つの慢性的な課題を解決することだ:分散した開発者クレデンシャル、制御されない消費、一律アクセスポリシーの適用不能。

Gatewayが解決する問題とは?

組織がClaude Codeの使用を数十人または数百人の開発者にスケールさせ始めると、すぐに運用上の混乱に直面する。各開発者が独自のAPIキーを持ち、自分の裁量で消費し、管理者には統合されたビューも一元管理のメカニズムもない。侵害されたキーのローテーションには各開発者との個別連絡が必要だ。新しいメンバーのオンボーディングは新しいシークレットキーの手動生成と配布を意味する。

Claude Apps Gateway for AWSは、開発者とAnthropicまたはBedrockのAPI間に位置する単一のセルフホスト型コントロール層で、これらすべてを解決する。

既存SSOによるアイデンティティとアクセス管理

任意のOIDC互換のアイデンティティプロバイダーとの統合は、組織が新しいアイデンティティ管理システムを構築する必要がないことを意味する。すでに存在する同じIdP——Okta、Microsoft Entra、Google Workspace、その他——が使用される。開発者はclaude /loginを実行し、他のすべての社内ツールに使用するものと同一のブラウザベースのSSOを経て、短命のセッショントークンを受け取る。

アクセスの自動取り消しも同様に機能する:IdPグループからユーザーを削除するだけで、Claudeへのアクセスが追加の管理作業なしにただちに取り消される。このモデルは最大のセキュリティリスクの1つを排除する——従業員が会社を去った後も長い間有効なまま残り続ける忘れられた長期存続APIキーだ。

グループ別の詳細なポリシー

管理者はIdPグループごとに、グローバルにだけでなく、許可されたモデル・ツールの権限・デフォルト設定を定義する。これにより、推論研究チームは最も強力で最も高価なモデルへのアクセスを許可される一方で、フロントエンド開発チームはより軽量で安価なオプションに制限される——すべて同じゲートウェイ経由で、別々のデプロイメントなしに。

重要なのは、開発者が一元的に適用されたポリシーをローカルでオーバーライドできないことだ。これは各開発者が個別にツールを設定する状況との重要な違いだ。

手動介入のないコスト管理

最も評価される機能の1つは組織・グループ・個別ユーザーレベルでの設定可能な日次・週次・月次の消費制限だ。設定されたしきい値を超えると、期間がリセットされるか管理者が制限を手動で引き上げるまで、ゲートウェイが自動的にそれ以上のリクエストをブロックする。

これは直接的なビジネスニーズを解決する:AIコストは可視性と管理なしに指数関数的に増加する可能性があり、Claude Apps Gatewayは手動追跡なしに確定的な停止メカニズムを提供する。

CloudWatchなどへのテレメトリ

各リクエストが使用状況メトリクスを生成し、ゲートウェイがOTLPプロトコル経由でAmazon CloudWatch、Prometheus向けAmazon Managed Service、または選択したサードパーティプラットフォームに送信する。組織はデータ保持を管理し、個々の開発者レベルでのユーザー帰属により誰がどれだけ消費しているかの正確なビューが得られる。

デプロイメント:単一のステートレスコンテナ

アーキテクチャ的に、ゲートウェイは意図的にシンプルだ:Amazon ECS、EKS、またはEC2で動作する単一のステートレスコンテナ。PostgreSQLデータベース(推奨:Amazon RDS)がセッション状態とレート制限データを保持する。TLS終端を持つロードバランサーがデプロイメントを完成させる。

設定は単一のYAML起動ファイルに集約され、Bedrock統合は静的なクレデンシャルなしにIAMロールベースの認証を使用する。推論はAmazon BedrockまたはAWS上のClaude Platformにルーティングされ、高可用性のためAWSリージョンとアカウント間のオプションのフェイルオーバーがある。

すでにAWS上で作業している組織にとって、このアーキテクチャは採用すべき新しいテクノロジーがないことを意味する——既存のインフラに1つのコンテナを追加するだけだ。

エンタープライズAI採用における実際の重要性

Claude Apps Gateway for AWSは、エンタープライズAI採用がパイロット段階からプロダクションの現実へと移行しているときに登場する。クレデンシャル、コスト、ポリシー管理の問題は、最初の数十人の開発者では無視できるが、百人規模では重要になる。AWSのソリューションは、実際の組織構造と既存のIdPワークフローにマッピングする、意見のある、しかし柔軟なアーキテクチャを提供する。

よくある質問

Claude Apps Gatewayは個別APIキーの必要性をどのように排除しますか?
GatewayはAnthropicまたはBedrockクレデンシャルを一元的に保持し、開発者にOIDCリフレッシュトークンで更新される短命セッショントークン(デフォルト1時間)を発行します。長期存続のキーが開発者のマシンに渡ることはありません。
どのインフラプラットフォームにデプロイできますか?
Claude Apps GatewayはAmazon ECS・Amazon EKS・Amazon EC2で動作するステートレスコンテナで、セッションとレート制限データの追跡にPostgreSQLデータベース(推奨:Amazon RDS)を使用します。
チームまたはユーザーごとに消費量を制限できますか?
はい——管理者は組織・IdPグループ・個別ユーザーレベルで日次・週次・月次の消費制限を設定できます。期間がリセットされるか管理者が制限を調整するまで、超過時にシステムが自動的にリクエストをブロックします。