AWSがClaude向けにアクセス・支出・ガバナンスを一元管理

AWS向けClaude apps gatewayは、Claude CodeおよびClaude Desktopのアクセス、コスト、ポリシーを組織が一元的に管理できるようにする、セルフホスト型のコントロールプレーンです。開発者ごとのクラウド認証情報や、開発者のノートパソコンへの管理設定の手動配布を不要にし、使用状況の帰属と支出管理を一元化します。このゲートウェイはAmazon BedrockまたはAWS上のClaude Platformのいずれの環境でも展開可能で、どちらの環境でも同じ機能を提供します。

Image

AWS向けClaude apps gatewayのアーキテクチャ(出典: AWS)

ゲートウェイの仕組み

Claude Code CLIに組み込まれているこのゲートウェイでは、開発者は普段使っているクライアントをそのまま利用できます。ステートレスなサービスとして稼働し、認証状態やレート制限にはPostgreSQLデータベースを使用します。管理設定はサインイン時に自動的に適用され、ポリシーはリクエストのたびに強制されます。

「オンボーディングとオフボーディングは、既存のIDワークフローに沿って行われます。アクセスを許可するには、開発者をID プロバイダー(IdP)に追加します。アクセスを取り消すには、開発者をIdPから削除するだけで、設定されたトークンの有効期間(デフォルトでは1時間)内にセッションが失効します。開発者のマシンに長期間有効な機密情報が残ることはありません」と、ブログの執筆者は説明しています

このゲートウェイの中核機能は、ID管理、ポリシー管理、テレメトリ、ルーティング、支出上限の5つです。

このゲートウェイはOpenID Connect(OIDC)対応のIDプロバイダーと連携してシングルサインオンを実現し、認証後の開発者に対して有効期間の短いトークンを発行します。管理者はユーザーグループに基づいて、モデルへのアクセス権、ツールの利用権限、各種設定などのポリシーを一元管理できます。また、OpenTelemetry経由で使用状況のテレメトリを監視プラットフォームにエクスポートし、推論リクエストをAmazon BedrockまたはAWS上のClaude Platformへルーティングするほか、リージョンやアカウントをまたいだ展開にも対応し、組織・グループ・個々のユーザーごとに支出上限を適用します。

翻訳元: https://www.helpnetsecurity.com/2026/07/09/aws-claude-apps-gateway-governance/

ソース: helpnetsecurity.com