BYOKを使う理由
- 無制限の使用量 — プラットフォームのクレジット制限ではなく、自社のBedrockのクォータが適用されます。
- コスト管理 — すでに予算とコスト配分タグを持っているAWSの請求書に料金が計上されます。
- データレジデンシー — USのみ、EUのみ、またはAPACのみの推論プロファイルを通じて推論をルーティングできます。
- コンプライアンス — 推論の場所と監査者を自分でコントロールできます。
- モデル管理不要 — CloudThinkerがタスクに応じてClaude Sonnet 4.5またはOpus 4.5を自動的に選択します。
前提条件
- Scale、Scale +、またはEnterpriseプラン — 料金・プランを参照
- Amazon Bedrockアクセスが有効な AWSアカウント
- Bedrockの呼び出し権限を持つ IAMクレデンシャル(アクセスキーIDとシークレットアクセスキー)
- AWSアカウントでClaude Sonnet 4.5とClaude Opus 4.5の両方への モデルアクセス
長期クレデンシャル(AKIAプレフィックス)はセッショントークンの自動更新をサポートします。一時クレデンシャル(ASIAプレフィックス)は更新できません——有効期限が切れたら再設定してください。
Claudeモデルアクセスのリクエスト
Claudeモデルは、Bedrockコンソールで一度だけユースケースフォームを送信する必要があります。詳細はAWS Bedrockモデルアクセスドキュメントを参照してください。BedrockコンソールでModel accessを開く
AWSコンソールにログインし、Amazon Bedrockを開いて、左のナビゲーションで Model access をクリックします。
モデルアクセスを変更する
Modify model access をクリックして、以下の両方を有効にします:
- Claude Sonnet 4.5 (
anthropic.claude-sonnet-4-5-20250929-v1:0) - Claude Opus 4.5 (
anthropic.claude-opus-4-5-20251101-v1:0)
Sonnet 4.5とOpus 4.5の両方へのアクセスをリクエストしてください。CloudThinkerはタスクの要件に応じてそれらを切り替えます。
IAMクレデンシャルの作成
IAMユーザーは両方のモデルを呼び出す権限が必要です。AWS CLIまたはAWSコンソールから作成します。これらのコマンドには、IAM管理権限(
iam:CreateUser、iam:PutUserPolicy、iam:CreateAccessKey)を持つAWSプロファイルが必要です。CloudThinkerでBedrockを接続する
クレデンシャルを入力する
Access Key ID(AKIAまたはASIAプレフィックス)、Secret Access Key、および一時クレデンシャルの場合のみ Session Token を入力します。
推論プロファイルを選択する
データレジデンシーのニーズに応じて Global、US、EU、または APAC を選択します。
推論プロファイル
Bedrockの推論プロファイルは、リクエストを処理できるAWSリージョンを制御します。リージョンのカバレッジについては、AWS推論プロファイルドキュメントを参照してください。| プロファイル | ルーティング | 一般的な用途 |
|---|---|---|
| Global | 任意の商用AWSリージョン | 最大スループット |
| US | USリージョンのみ | USデータレジデンシー |
| EU | EUリージョンのみ | GDPRコンプライアンス |
| APAC | APACリージョンのみ | リージョナルデータレジデンシー |
仕組み
- モデル選択 — CloudThinkerはタスクごとに適切なClaudeモデルを選択します。手動でモデルを選択する必要はありません。サポートされているファウンデーションモデルのリストを参照してください。
- ワークスペースの継承 — ワークスペースオーナーがBYOKを一度設定すると、すべてのメンバーがそれを継承します。全メンバーのLLM使用量はオーナーのAWSアカウントを通じてルーティングされ、オーナーがクレデンシャルを一元管理します。
フォールバック動作
CloudThinkerは失敗したBYOK呼び出しをプラットフォーム管理のBedrockクレデンシャルで再試行できますが、これはワークスペースごとのオプトインであり、EnterpriseおよびBYOCプランではデフォルトで無効です。フォールバックがオフの場合、呼び出しが失敗するとエラーが表示されます——リクエストがクレデンシャルの境界から出ることはありません。フォールバックが発動するタイミング(有効な場合)
BYOK呼び出しがプラットフォームパスにフォールバックするのは、3つすべてが真の場合のみです:- エラーが再試行可能である——クレデンシャルの有効期限切れ、スロットリング、一時的な5xx——コンテンツやポリシー違反ではない。
- 操作がフォールバック対象としてマークされている(ほとんどの読み取り操作が対象。本番環境での自律的な書き込みアクションは対象外)。
- ワークスペースのフォールバックポリシーが Allow である。
フォールバックポリシーの設定
ポリシーを選択する
| ポリシー | BYOKの失敗時の動作 | 一般的な用途 |
|---|---|---|
| Allow | 同リージョンのプラットフォームクレデンシャルで再試行 | 開発・サンドボックステナント |
| Warn | 同リージョンで再試行するが、次のセッションでユーザーの再確認が必要 | 混在したワークロード |
| Strict (EnterpriseおよびBYOCのデフォルトかつ推奨) | エラーを表示。別のクレデンシャルでは再試行しない | 規制対象の環境 |
推論呼び出しが送信するもの
ポリシーに関わらず、各BYOK呼び出しはエージェントのシステムプロンプトとツール定義、関連する会話履歴、および取得されたコンテキスト(トポロジー、メモリ、ランブック)を送信します。生のクラウドクレデンシャル、他のワークスペースのデータ、または Admin Settings → Data Protection でトークン化が設定されている場合は顧客のPIIを送信することはありません。トラブルシューティング
モデルアクセス拒否エラー
モデルアクセス拒否エラー
- Bedrockコンソールでユースケースフォームを送信したことを確認する
- Model access ページでSonnet 4.5とOpus 4.5の両方が有効になっていることを確認する
- アクセスが反映されるまで送信後数分待つ
IAM権限エラー
IAM権限エラー
- ポリシーに
bedrock:InvokeModelとbedrock:InvokeModelWithResponseStreamが含まれていることを確認する - モデルと推論プロファイルのARNが使用するモデルとプロファイルと一致していることを確認する
- AWSコンソールで直接権限をテストする
クレデンシャル検証の失敗
クレデンシャル検証の失敗
- アクセスキーIDとシークレットアクセスキーが正しく、ローテーションまたは失効されていないことを確認する
- 一時クレデンシャルの場合、セッショントークンが有効期限切れでないことを確認する
aws sts get-caller-identityでテストする
接続テストの失敗
接続テストの失敗
- Sonnet 4.5とOpus 4.5の両方がアクセス可能でIAMポリシーでカバーされていることを確認する
- AWSアカウントでBedrockが有効になっていることを確認する
- リージョンの選択がモデルアクセスと一致していることを確認する
ワークスペースでBYOKが機能しない
ワークスペースでBYOKが機能しない
- ワークスペースオーナーがBYOKを設定し、設定で有効になっていることを確認する
- オーナーのプランがScale、Scale +、またはEnterpriseであることを確認する
- オーナーのクレデンシャルがまだ有効であることを確認する
セッショントークンの有効期限切れ
セッショントークンの有効期限切れ
- 長期クレデンシャル(AKIA)は自動的に更新される
- 一時クレデンシャル(ASIA)は更新できない——新しいクレデンシャルで再設定する
- 設定内の
session_token_expires_atタイムスタンプを確認する
関連
料金・プラン
BYOKが含まれるプランと各ティアの内容
使用量
ワークスペース全体のクレジットとLLM使用量を追跡する
通知
BYOKクレデンシャルのヘルスが業務をブロックする前にアラートを設定する
Webhooks
監査イベントをSIEMにエクスポートする