【図解】Guidance for Claude Code and Cowork on Amazon Bedrock

Amazon Bedrock経由でClaude Code/Coworkを企業導入する際の管理ツール「Guidance for Claude Code and Cowork on Amazon Bedrock」について、設定配布、SSO認証、監視機能の仕組みを紹介します。

Kanaru

2026.06.03

 はじめにこんにちは、AI 事業本部の Kanaru です。
各企業で AI 導入の機運が高まっていますが、Claude Code や Claude Cowork の導入には様々な方法が存在します。中でも今回は、Amazon Bedrock 経由で Claude Code / Cowork を導入するためのソリューション Guidance for Claude Code and Cowork on Amazon Bedrock の仕組みについて簡単に紹介します。
 対象読者Guidance for Claude Code and Cowork on Amazon Bedrock がどういうものか知りたい人
実際に Bedrock を使った Claude Code / Cowork の設定を作成・配布したい人
 本記事で紹介すること本記事では、ソリューション Guidance for Claude Code and Cowork on Amazon Bedrock に含まれる3つの機能
Claude Code / Cowork 設定のユーザーへの配布
外部 ID プロバイダによる Claude Code / Cowork の SSO 認証
使用状況の監視・制限
について、それぞれ管理者として設定する上で、機能の動作や使用方法について紹介します。特に、管理者としてソリューションを使う上で知っておくべきことについてフォーカスします。
 本記事で紹介しないことソリューションの具体的な設定・デプロイ方法は紹介しません。
 概要Guidance for Claude Code and Cowork on Amazon Bedrock は管理者がユーザーに対して Claude Code / Cowork の設定を配布し、ユーザーが管理者所有の Bedrock 経由で Claude Code / Cowork を使えるようにするためのソリューションです。
その中の機能として、SSO ログインやクォータ監視、クロスプラットフォーム対応などが含まれます。ソリューションの概要は以下の図の通りです。図中の ccwb は、ソリューション内で提供される管理者用の設定ツールである ccwb CLI を指します。
 設定配布配布する設定には Claude 用の設定ファイルと、認証用のソフトウェアが含まれます。認証用のソフトウェアはバイナリ形式で配布されるため、事前に想定するプラットフォーム向けに管理者側でビルドする必要があります。
また、設定の配布方法として、URL を直接配布するか、ランディングページを作成するかを選べます。
URL の配布では S3 の事前署名 URL を管理者が発行し、それをユーザーに伝える形で配布します。
 ID プロバイダによるSSO 認証外部の ID プロバイダ (Okta や EntraID など) を Claude Code のログインに使用することができます。この際、自動的に Bedrock 経由でモデルを使用することになります。
対応している ID プロバイダは以下の通りです。
対応している ID プロバイダOkta
Microsoft Entra ID
Auth0
AWS Cognito User Pool
その他の OIDC 対応プロバイダ
詳細は公式リポジトリの Quick Start Guide をご覧ください。
だだし、既存のプロバイダを使用する場合や非対応のプロバイダ (SAML など) を使用したい場合でも、User Pool に ID プロバイダを連携させることで、認証に Cognito User Pool を使うことができます。
認証フローは以下の通りです。
Bedrock の認証は AWS STS もしくは Cognito の Identity Pool が発行するセッションにより行われます。認証情報取得のフローは配布するパッケージによって管理されています。
 監視管理者はクォータ制限をかけたり、CloudWatch のダッシュボードでユーザーの使用量を監視することができます。これは、OpenTelemetry による情報収集と、Lambda によるメトリクスデータの計算によって実現されています。
 データ収集CloudWatch のダッシュボードに表示される情報がどのように収集・処理されているかについて説明します。
データの収集は Claude Code から ECS でホスティングされた OpenTelemetry を経由して収集されます。 収集されたデータは一度 CloudWatch Logs に保存されます。
収集されたデータは定期実行される Lambda で処理され、DynamoDB に保存されます。同時に、クォータの監視に使う情報も別のテーブルに保存します。
ダッシュボードのメトリクスは DynamoDB に保存されたものを表示しています。また、一部のメトリクスは表示時に Lambda で計算されます。
 クォータ制限1ヶ月または1日の使用量によって、SNS のメッセージ (alert) を出したり、使用を制限 (block) したりすることができます。
Claude Code から API Gateway に対してクォータの確認リクエストが来た場合は、Lambda で block されているかどうかを判定し、応答します。
alert は、定期実行される Lambda がクォータを判定し、SNS にメッセージを送信します。
 Athena によるデータ分析収集したログデータを Athena により分析することができます。
CloudWatch Logs に保存されたデータは Kinesis Data Firehose によって吸い上げられ、Lambda で整形された後、S3 に保存されます。そのデータを AWS Glue が参照し、Athena で処理できるようになります。
Athena には事前構築されたクエリがいくつかあり、例えばトークン消費量の多いユーザーの分析などが可能です。
 おわりにGuidance for Claude Code and Cowork on Amazon Bedrock の主要機能について、どのような仕組みで何ができるのかについて紹介しました。導入やカスタムの参考になれば幸いです。