メインコンテンツへスキップ
Bring Your Own Key (BYOK) を利用すると、Scaleプランおよびそれ以上のプランのワークスペースが、プラットフォームクレジットの代わりに自社のAWS Bedrockクレデンシャルを通じてLLM推論を実行できます。使用料はAWSアカウントに請求され、どのリージョンで推論を処理するかを選択できます。

BYOKを使う理由

  • 無制限の使用量 — プラットフォームのクレジット制限ではなく、自社のBedrockのクォータが適用されます。
  • コスト管理 — すでに予算とコスト配分タグを持っているAWSの請求書に料金が計上されます。
  • データレジデンシー — USのみ、EUのみ、またはAPACのみの推論プロファイルを通じて推論をルーティングできます。
  • コンプライアンス — 推論の場所と監査者を自分でコントロールできます。
  • モデル管理不要 — CloudThinkerがタスクに応じてClaude Sonnet 4.5またはOpus 4.5を自動的に選択します。

前提条件

  • Scale、Scale +、またはEnterpriseプラン料金・プランを参照
  • Amazon Bedrockアクセスが有効な AWSアカウント
  • Bedrockの呼び出し権限を持つ IAMクレデンシャル(アクセスキーIDとシークレットアクセスキー)
  • AWSアカウントでClaude Sonnet 4.5とClaude Opus 4.5の両方への モデルアクセス
CloudThinkerはAWS IAMクレデンシャル(アクセスキーID、シークレットアクセスキー、一時クレデンシャル用のオプションのセッショントークン)でAWSに認証します。直接BedrockのAPIキーは計画されていますが、まだサポートされていません。
長期クレデンシャル(AKIAプレフィックス)はセッショントークンの自動更新をサポートします。一時クレデンシャル(ASIAプレフィックス)は更新できません——有効期限が切れたら再設定してください。

Claudeモデルアクセスのリクエスト

Claudeモデルは、Bedrockコンソールで一度だけユースケースフォームを送信する必要があります。詳細はAWS Bedrockモデルアクセスドキュメントを参照してください。
1

BedrockコンソールでModel accessを開く

AWSコンソールにログインし、Amazon Bedrockを開いて、左のナビゲーションで Model access をクリックします。
2

モデルアクセスを変更する

Modify model access をクリックして、以下の両方を有効にします:
  • Claude Sonnet 4.5 (anthropic.claude-sonnet-4-5-20250929-v1:0)
  • Claude Opus 4.5 (anthropic.claude-opus-4-5-20251101-v1:0)
3

ユースケースの詳細を送信する

ユースケースの説明、予想される使用パターン、および該当する場合はコンプライアンス要件をフォームに入力します。成功の状態: Model accessページに両方のモデルがアクセス許可済みとして表示されます——通常は送信直後に反映されます。
Sonnet 4.5とOpus 4.5の両方へのアクセスをリクエストしてください。CloudThinkerはタスクの要件に応じてそれらを切り替えます。

IAMクレデンシャルの作成

IAMユーザーは両方のモデルを呼び出す権限が必要です。AWS CLIまたはAWSコンソールから作成します。
1

IAMユーザーを作成する

aws iam create-user --user-name bedrock-byok-user
2

ポリシーファイルを作成する

cat > bedrock-policy.json << 'EOF'
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "bedrock:InvokeModel",
        "bedrock:InvokeModelWithResponseStream"
      ],
      "Resource": [
        "arn:aws:bedrock:*::foundation-model/anthropic.claude-sonnet-4-5-20250929-v1:0",
        "arn:aws:bedrock:*::foundation-model/anthropic.claude-opus-4-5-20251101-v1:0",
        "arn:aws:bedrock:*:*:inference-profile/global.anthropic.claude-sonnet-4-5-20250929-v1:0",
        "arn:aws:bedrock:*:*:inference-profile/global.anthropic.claude-opus-4-5-20251101-v1:0",
        "arn:aws:bedrock:*:*:inference-profile/us.anthropic.claude-sonnet-4-5-20250929-v1:0",
        "arn:aws:bedrock:*:*:inference-profile/us.anthropic.claude-opus-4-5-20251101-v1:0",
        "arn:aws:bedrock:*:*:inference-profile/eu.anthropic.claude-sonnet-4-5-20250929-v1:0",
        "arn:aws:bedrock:*:*:inference-profile/eu.anthropic.claude-opus-4-5-20251101-v1:0",
        "arn:aws:bedrock:*:*:inference-profile/apac.anthropic.claude-sonnet-4-5-20250929-v1:0",
        "arn:aws:bedrock:*:*:inference-profile/apac.anthropic.claude-opus-4-5-20251101-v1:0"
      ]
    },
    {
      "Effect": "Allow",
      "Action": ["sts:GetSessionToken"],
      "Resource": "*"
    }
  ]
}
EOF
3

ポリシーをアタッチする

aws iam put-user-policy \
  --user-name bedrock-byok-user \
  --policy-name BedrockInvokePolicy \
  --policy-document file://bedrock-policy.json
4

アクセスキーを作成する

aws iam create-access-key --user-name bedrock-byok-user
出力から AccessKeyIdSecretAccessKey を保存します——これらをCloudThinkerに入力します。
5

クレデンシャルを確認する

aws configure --profile bedrock-byok-user
aws sts get-caller-identity --profile bedrock-byok-user
成功の状態: get-caller-identitybedrock-byok-user のARNを返します。
これらのコマンドには、IAM管理権限(iam:CreateUseriam:PutUserPolicyiam:CreateAccessKey)を持つAWSプロファイルが必要です。

CloudThinkerでBedrockを接続する

1

BYOK設定を開く

Settings → BYOK Settings に移動し、プロバイダーとして AWS Bedrock を選択します。
2

クレデンシャルを入力する

Access Key ID(AKIAまたはASIAプレフィックス)、Secret Access Key、および一時クレデンシャルの場合のみ Session Token を入力します。
3

推論プロファイルを選択する

データレジデンシーのニーズに応じて GlobalUSEU、または APAC を選択します。
4

テストして保存する

Test Connection をクリックしてクレデンシャルが有効で両方のモデルに到達可能であることを確認し、Save をクリックします。成功の状態: Sonnet 4.5とOpus 4.5の両方のテストが通過します。
クレデンシャルは保存時に暗号化され、APIレスポンスやログには公開されません。

推論プロファイル

Bedrockの推論プロファイルは、リクエストを処理できるAWSリージョンを制御します。リージョンのカバレッジについては、AWS推論プロファイルドキュメントを参照してください。
プロファイルルーティング一般的な用途
Global任意の商用AWSリージョン最大スループット
USUSリージョンのみUSデータレジデンシー
EUEUリージョンのみGDPRコンプライアンス
APACAPACリージョンのみリージョナルデータレジデンシー

仕組み

  • モデル選択 — CloudThinkerはタスクごとに適切なClaudeモデルを選択します。手動でモデルを選択する必要はありません。サポートされているファウンデーションモデルのリストを参照してください。
  • ワークスペースの継承 — ワークスペースオーナーがBYOKを一度設定すると、すべてのメンバーがそれを継承します。全メンバーのLLM使用量はオーナーのAWSアカウントを通じてルーティングされ、オーナーがクレデンシャルを一元管理します。

フォールバック動作

CloudThinkerは失敗したBYOK呼び出しをプラットフォーム管理のBedrockクレデンシャルで再試行できますが、これはワークスペースごとのオプトインであり、EnterpriseおよびBYOCプランではデフォルトで無効です。フォールバックがオフの場合、呼び出しが失敗するとエラーが表示されます——リクエストがクレデンシャルの境界から出ることはありません。

フォールバックが発動するタイミング(有効な場合)

BYOK呼び出しがプラットフォームパスにフォールバックするのは、3つすべてが真の場合のみです:
  1. エラーが再試行可能である——クレデンシャルの有効期限切れ、スロットリング、一時的な5xx——コンテンツやポリシー違反ではない。
  2. 操作がフォールバック対象としてマークされている(ほとんどの読み取り操作が対象。本番環境での自律的な書き込みアクションは対象外)。
  3. ワークスペースのフォールバックポリシーが Allow である。
フォールバックは、元の呼び出しと同じリージョンのプラットフォーム管理のBedrockアカウントにリクエストを再送します——別の管轄エリアには送りません。すべてのフォールバックは、Admin Settings → Audit log に監査イベント(元のエラーコード、サービングエンドポイント、ユーザー、ワークスペース、モデル、トークン数)を記録し、webhooks経由でSIEMにエクスポートできます。

フォールバックポリシーの設定

1

フォールバックポリシーを開く

Admin Settings → BYOK → Fallback policy に移動します。
2

ポリシーを選択する

ポリシーBYOKの失敗時の動作一般的な用途
Allow同リージョンのプラットフォームクレデンシャルで再試行開発・サンドボックステナント
Warn同リージョンで再試行するが、次のセッションでユーザーの再確認が必要混在したワークロード
Strict (EnterpriseおよびBYOCのデフォルトかつ推奨)エラーを表示。別のクレデンシャルでは再試行しない規制対象の環境
3

組織レベルでロックする(オプション)

Enforce across all workspaces をトグルして、ワークスペース管理者がポリシーをローカルで変更できないようにします。このトグルを切り替えられるのは、byok:admin 権限を持つ組織オーナーのみです。
Strictモードのトレードオフ: BYOKクレデンシャルが誤設定または失効した場合、修正するまでエージェントの操作が失敗します。クレデンシャルのローテーションとクォータ管理を計画し、BYOKヘルスに関する通知を設定してください。

推論呼び出しが送信するもの

ポリシーに関わらず、各BYOK呼び出しはエージェントのシステムプロンプトとツール定義、関連する会話履歴、および取得されたコンテキスト(トポロジー、メモリ、ランブック)を送信します。生のクラウドクレデンシャル、他のワークスペースのデータ、または Admin Settings → Data Protection でトークン化が設定されている場合は顧客のPIIを送信することはありません。

トラブルシューティング

  • Bedrockコンソールでユースケースフォームを送信したことを確認する
  • Model access ページでSonnet 4.5とOpus 4.5の両方が有効になっていることを確認する
  • アクセスが反映されるまで送信後数分待つ
  • ポリシーに bedrock:InvokeModelbedrock:InvokeModelWithResponseStream が含まれていることを確認する
  • モデルと推論プロファイルのARNが使用するモデルとプロファイルと一致していることを確認する
  • AWSコンソールで直接権限をテストする
  • アクセスキーIDとシークレットアクセスキーが正しく、ローテーションまたは失効されていないことを確認する
  • 一時クレデンシャルの場合、セッショントークンが有効期限切れでないことを確認する
  • aws sts get-caller-identity でテストする
  • Sonnet 4.5とOpus 4.5の両方がアクセス可能でIAMポリシーでカバーされていることを確認する
  • AWSアカウントでBedrockが有効になっていることを確認する
  • リージョンの選択がモデルアクセスと一致していることを確認する
  • ワークスペースオーナーがBYOKを設定し、設定で有効になっていることを確認する
  • オーナーのプランがScale、Scale +、またはEnterpriseであることを確認する
  • オーナーのクレデンシャルがまだ有効であることを確認する
  • 長期クレデンシャル(AKIA)は自動的に更新される
  • 一時クレデンシャル(ASIA)は更新できない——新しいクレデンシャルで再設定する
  • 設定内の session_token_expires_at タイムスタンプを確認する

関連

料金・プラン

BYOKが含まれるプランと各ティアの内容

使用量

ワークスペース全体のクレジットとLLM使用量を追跡する

通知

BYOKクレデンシャルのヘルスが業務をブロックする前にアラートを設定する

Webhooks

監査イベントをSIEMにエクスポートする