API Gateway と Lambda によるAmazon Bedrockエージェント呼び出しの実装ガイド

Posted at 2026-03-04

はじめに

　Amazon API Gateway は、REST APIやHTTP APIを迅速に構築・公開・管理できるマネージドサービスです。API Gateway を活用することで、Bedrockエージェントへのアクセスをセキュアかつスケーラブルに実現できます。
　本ガイドでは、API Gateway を使用してBedrockエージェントを呼び出すAPIの構築方法とセキュリティ対策について説明いたします。

1. 実装手順

Step 1.Lambda関数の作成

　Bedrockエージェントを呼び出すLambda関数を作成します。Lambda関数の詳細な実装方法については、以下の記事を参照してください。

参考記事：AWS Lambda によるAmazon Bedrockエージェント呼び出しの実装ガイド

　本ガイドでは、上記の記事で作成したLambda関数が既に存在することを前提に、API Gateway との統合を進めます。

Step 2. API Gateway の作成と設定

　AWS コンソールから API Gateway サービスを開き、「API を作成」をクリックします。

　「REST API」を選択し、「構築」をクリックします。API 名として「bedrock-agent-api」と入力し、「API の作成」ボタンをクリックします。

Step 3. リソースとメソッドの作成

　作成されたAPI内で、新しいリソースを追加します。

左側のメニューから「リソース」を選択し、リソースを作成」をクリック
リソース名として「agent」を入力し、「リソースを作成」をクリック
/agent リソースを選択した状態で、「メソッドを作成」をクリックし、POSTを選択
統合タイプとして「Lambda 関数」を選択し、Lambda関数を指定
「メソッドを作成」をクリック

Step 4. CORS の有効化

　リソースに対して CORS（Cross-Origin Resource Sharing）を有効化します。

/agent リソースを選択した状態で、右上の「CORS を有効にする」をクリック
POSTをチェックし、デフォルト設定を確認し、「保存」をクリック

Step 5. API のデプロイ

設定完了後、API をデプロイします。

右上の「API をデプロイ」をクリック
デプロイステージとして新規の「Prod」を入力し、「デプロイ」をクリック

　デプロイが完了した後、「API Endpoint」に表示されたURLがクライアントから呼び出すエンドポイントとなります。

Step 6. API のテスト

　作成したAPIをテストします。Talend API TesterツールでAPIへリクエストします。リクエスト本文は以下の通りです。

{ 
  "input": "技術ブログのタイトルと概要を作成してください。テーマは『AIの未来』です",
  "session_id": "test-session-001"
}

　送信後、以下のようなレスポンスを得られました。

　以上、API Gateway を使用してBedrockエージェントを呼び出すAPIの構築方法を説明しました。

2. 利点と適用場面

　API Gateway利用の利点と適用場面について以下のように考えられます。

API Gateway の利点

利点	説明
セキュリティ	API キー、AWS IAM 認証、または OAuth 2.0 を使用して、API へのアクセスを制御できます不正なアクセスを防止し、データの機密性を確保します
スケーラビリティ	API Gateway は自動的にスケールし、大量のリクエストに対応しますバックエンドのインフラストラクチャ管理を気にすることなく、トラフィック増加に対応できます
管理機能	API の使用量監視、キャッシング、スロットリング、ログ記録などの機能が組み込まれています。これにより、API のパフォーマンスと信頼性を確保できます
統合	Lambda、DynamoDB、S3、SNS など、他のAWSサービスとシームレスに統合できます複雑なワークフローを容易に実装できます
マネージドサービス	サーバー管理やパッチ適用などの運用負荷がなく、開発に集中できます AWSが可用性とセキュリティを管理します
コスト効率	従量課金型であり、使用した分だけ料金が発生します初期投資を抑えながらスタートできます

適用場面

場面	説明
モバイルアプリケーション	iOSやAndroidアプリケーションからBedrockエージェントにアクセスする場合アプリケーションはAPI経由でAI機能を活用できます
ウェブフロントエンド統合	React、Vue.js などのフロントエンドフレームワークから API を呼び出す場合ユーザーインターフェースとバックエンド AI を連携させます
外部システム連携	パートナー企業やサードパーティアプリケーションがBedrockエージェントにアクセスする必要がある場合 API を公開インターフェースとして提供します
SaaS プラットフォーム	複数のテナントやクライアントに対してAI機能を提供する場合 API Gateway のマルチテナント対応機能を活用できます

3. セキュリティの考慮事項

　API Gateway 経由でBedrockエージェントにアクセスする際、複数のセキュリティ観点を対策することがが必要です。

セキュリティ対策一覧表

セキュリティ観点	目的	利用するAWSサービス	説明
認証・認可	APIへのアクセスを許可されたユーザー・システムのみに限定	API Gateway、AWS IAM、Amazon Cognito	API キー、IAM ロール、ユーザープール（Cognito）を使用して、リクエスト送信者の身元確認と権限判定を実施 APIメソッドリクエストで「API キーが必要」を有効化するか、IAM認証を設定します
通信暗号化	APIとクライアント間の通信内容を暗号化し、中途傍受から保護	API Gateway、AWS Certificate Manager（ACM）	HTTPS（TLS 1.2以上）が自動的に有効化されますカスタムドメイン名使用時は、ACM で取得したSSL/TLS証明書を設定して、より信頼性の高い通信を実現します
機密情報管理	エージェントID、API キーなどの機密情報を安全に保管・管理	AWS Secrets Manager、AWS Systems Manager Parameter Store	Secrets Manager を使用して、機密情報を暗号化・一元管理します Lambda 関数内でコード記述時に直接機密情報を埋め込まず、Secrets Manager から取得するようにします
ログ記録・監査	APIへの全アクセスを記録し、セキュリティインシデント検出・調査に活用	CloudWatch Logs、AWS CloudTrail	API Gateway アクセスログを CloudWatch Logs に出力 CloudTrail は管理API操作を記録。ログを分析することで、不正アクセスやセキュリティリスクを検出します
アクセス制限	DDoS攻撃や過度な利用から API を保護。不正利用を防止	API Gateway のスロットリング・レート制限、AWS WAF	スロットリング機能で1秒あたりのリクエスト数を制限 AWS WAF（Web Application Firewall）を使用して、SQL インジェクション、XSS などの攻撃を検出・ブロック
最小権限の原則	Lambda 関数に必要最小限の権限のみを付与	AWS IAM ロール・ポリシー	Lambda 実行ロールに bedrock:InvokeAgent のみを許可他のリソースへのアクセス権限は付与しない。権限が漏れた場合の被害を最小化
ネットワーク分離	Lambda とプライベートリソース間の通信を安全に実施	Amazon VPC、VPC エンドポイント	Lambda を VPC 内に配置し、データベースなどのプライベートリソースにアクセスインターネット経由の通信を避け、AWS 内部ネットワークのみを使用
CORS 設定	ブラウザベースのクライアントからのリクエストを制御	API Gateway CORS	信頼されたドメインのみからのアクセスを許可ワイルドカード（*）での全オープンは避け、特定のドメインを明示的に指定

まとめ

　API Gateway と Lambda を組み合わせることで、Bedrockエージェントをセキュアで拡張性の高いREST APIとして公開できます。
　本番環境での実運用のために、API キー認証、CloudWatch Logs によるログ記録、スロットリング設定を組み合わせることを考慮し、より安全なシステムを構築できます。
　初期段階からセキュリティ対策を組み込み、段階的に機能を拡張していくことが推奨されます。本ガイドで説明した手順に従い、Bedrockエージェントの API構築を進めてください。