🟡 🏥 실무 게시일: · 3 분 읽기 ·

AWS, Claude Apps Gateway 도입: 엔터프라이즈 팀을 위한 Claude 도구의 중앙 관리

에디토리얼 일러스트: 기업의 Claude Code 및 Desktop 애플리케이션을 위한 AWS self-hosted 관리 플레인

Amazon Web Services가 Claude Apps Gateway for AWS를 발표했다. 이 self-hosted 컨트롤 플레인은 엔터프라이즈 팀이 개발자에게 수명이 긴 자격 증명을 배포하지 않고도 Claude Code와 Claude Desktop의 접근, 비용, 정책을 중앙에서 관리할 수 있도록 한다.

🤖

이 기사는 AI가 1차 출처를 기반으로 생성했습니다.

Amazon Web Services가 Claude Apps Gateway for AWS를 발표했다. 이 self-hosted 솔루션은 조직이 Claude Code 및 Claude Desktop 도구 배포에 대한 중앙 집중식 제어권을 갖도록 한다. 목표는 엔터프라이즈 AI 도입의 세 가지 만성적 문제, 즉 분산된 개발자 자격 증명, 통제되지 않는 비용, 일관된 접근 정책 적용 불가능을 해결하는 것이다.

Gateway가 해결하는 정확한 문제는 무엇인가?

조직이 수십 또는 수백 명의 개발자에게 Claude Code 사용을 확장하기 시작하면 운영상의 혼란이 빠르게 발생한다. 각 개발자는 자체 API 키를 보유하고 임의로 사용하며, 관리자는 통합된 가시성도 중앙 제어 메커니즘도 없다. 손상된 키의 교체는 각 개발자와의 개별 접촉을 필요로 한다. 새로운 협력자의 온보딩은 새로운 비밀 키의 수동 생성 및 배포를 의미한다.

Claude Apps Gateway for AWS는 개발자와 Anthropic/Bedrock API 사이에 위치하는 단일 self-hosted 제어 계층으로 이 모든 문제를 해결한다.

기존 SSO를 통한 신원 확인 및 접근

OIDC 호환 identity provider와의 통합은 조직이 새로운 신원 관리 시스템을 구축할 필요가 없음을 의미한다. Okta, Microsoft Entra, Google Workspace 또는 다른 기존 IdP를 그대로 사용한다. 개발자는 claude /login을 실행하고, 다른 모든 내부 도구에서 사용하는 것과 동일한 브라우저 기반 SSO를 거쳐 단기 세션 토큰을 받는다.

접근 자동 취소도 동일하게 작동한다. IdP 그룹에서 사용자를 제거하면 추가 관리 없이 Claude 접근이 즉시 취소된다. 이 모델은 가장 큰 보안 위험 중 하나인, 직원이 회사를 떠난 후에도 오랫동안 활성 상태로 남아 있는 잊혀진 수명이 긴 API 키를 제거한다.

그룹별 세분화된 정책

관리자는 허용되는 모델, 도구 권한, 기본 설정을 전역적으로만이 아닌 IdP 그룹별로 정의한다. 이는 추론 연구팀이 가장 강력하고 비싼 모델에 접근할 수 있는 반면, 프론트엔드 팀은 더 가볍고 저렴한 옵션으로 제한되는 등, 별도의 배포 없이 동일한 gateway를 통해 모두 처리됨을 의미한다.

개발자는 중앙에서 적용된 정책을 로컬에서 재정의할 수 없다는 점에 주목해야 한다. 이것이 각 개발자가 도구를 독자적으로 구성하는 상황과의 핵심적인 차이다.

수동 개입 없는 비용 통제

가장 높이 평가받는 기능 중 하나는 조직, 그룹 또는 개별 사용자 수준에서 구성 가능한 일별, 주별, 월별 사용량 한도다. 설정된 임계값 초과 시 gateway는 기간이 재설정되거나 관리자가 한도를 수동으로 올릴 때까지 추가 요청을 자동으로 차단한다.

이는 직접적인 비즈니스 요구를 해결한다. AI 비용은 가시성과 제어 없이 기하급수적으로 증가할 수 있으며, Claude Apps Gateway는 수동 모니터링 없이도 결정론적 중지 메커니즘을 제공한다.

CloudWatch 및 외부 플랫폼으로의 텔레메트리

모든 요청은 gateway가 OTLP 프로토콜을 통해 Amazon CloudWatch, Amazon Managed Service for Prometheus 또는 조직이 선택한 서드파티 플랫폼으로 전송하는 사용량 메트릭을 생성한다. 조직은 데이터 보존을 제어하며, 개별 개발자 수준의 사용자 귀속은 누가 얼마나 사용하는지에 대한 정확한 가시성을 제공한다.

배포: 단일 stateless 컨테이너

아키텍처 측면에서 gateway는 의도적으로 단순하게 설계되었다. Amazon ECS, EKS 또는 EC2에서 실행되는 단일 stateless 컨테이너다. PostgreSQL 데이터베이스(Amazon RDS 권장)는 세션 상태와 rate-limit 데이터를 보관한다. TLS 종료를 갖춘 로드 밸런서가 배포를 완성한다.

구성은 단일 YAML 시작 파일로 축약되며, Bedrock 통합은 정적 자격 증명 없이 IAM 역할 기반 인증을 사용한다. 추론은 Amazon Bedrock 또는 Claude Platform on AWS로 라우팅되며, 고가용성을 위해 AWS 리전과 계정 간 선택적 페일오버를 지원한다.

이미 AWS에서 운영 중인 조직에게 이 아키텍처는 새로운 기술을 도입할 필요 없이, 기존 인프라에 컨테이너 하나를 추가하는 것만을 의미한다.

엔터프라이즈 AI 도입에 대한 실질적 중요성

Claude Apps Gateway for AWS는 엔터프라이즈 AI 도입이 파일럿 단계에서 프로덕션 현실로 전환되는 시점에 등장했다. 처음 10여 명의 개발자에게는 무시할 수 있었던 자격 증명, 비용, 정책 관리 문제가 100명 규모에서는 크리티컬해진다. AWS의 솔루션은 실제 조직 구조와 기존 IdP 워크플로에 매핑되는 의견이 분명하면서도 유연한 아키텍처를 제공한다.

자주 묻는 질문

Claude Apps Gateway는 어떻게 개별 API 키의 필요성을 없애는가?
Gateway는 Anthropic 또는 Bedrock 자격 증명을 중앙에서 보유하고, OIDC 리프레시 토큰을 통해 갱신되는 단기 세션 토큰(기본값 1시간)을 개발자에게 발급한다. 이로써 수명이 긴 키는 개발자 머신에 절대 도달하지 않는다.
어떤 인프라 플랫폼에 배포할 수 있는가?
Claude Apps Gateway는 Amazon ECS, Amazon EKS 또는 Amazon EC2에서 실행되는 stateless 컨테이너로, 세션 및 rate-limit 데이터 추적을 위해 PostgreSQL 데이터베이스(Amazon RDS 권장)를 사용한다.
개별 팀이나 사용자별로 사용량을 제한할 수 있는가?
가능하다. 관리자는 조직, IdP 그룹 또는 개별 사용자 수준에서 일별, 주별 또는 월별 사용량 한도를 설정할 수 있다. 시스템은 한도 초과 시 기간이 재설정되거나 관리자가 한도를 조정할 때까지 자동으로 요청을 차단한다.