Amazon Bedrock の「Model access」画面は廃止され、現在は初回呼び出し時にモデルが自動有効化される仕様へと変更されました。これに伴い、管理者による IAM ポリシーを用いたアクセス制御の重要性がこれまで以上に増しています。
本記事では、IAM Identity Center を活用し、ユーザーに対して「Basic」「Standard」「Pro」の 3 段階で Bedrock の利用権限を管理する環境構築手順を解説します。
アクセスキー(API Key)を発行する方式は対象外とし、SSO による一時的な認証情報を利用する運用手順のみを扱います。
IAM Identity Center の設定
API Key(アクセスキー)は発行せず、SSO による一時認証を利用したセキュアな接続環境を構築します。
- ユーザーの作成
- グループの作成
- 許可セットの作成
- AWSアカウントの割り当て
1. ユーザーの作成
Bedrock モデルへアクセスするユーザーを作成します。
IAM Identity Center の「ユーザー」画面を開き、任意のユーザーを追加します。
(特定のグループに所属していなくても構いません)
2.グループの作成
Bedrockモデルの利用範囲に応じた3段階のグループを作成し、ユーザーを所属させます。所属ユーザーには各段階に応じたモデルへのアクセス権限が自動的に付与されます。
| グループ名 | 説明 |
|---|---|
| Up-to-Bedrock-Basic | 軽量・高速なモデル群へのアクセスを許可します。 |
| Up-to-Bedrock-Standard | 速度・コスト・精度のバランスが良いモデル群 へのアクセスを許可します。Up-to-Bedrock-Basicのモデル群にも利用可能です。 |
| Up-to-Bedrock-Pro | フラグシップモデル(最上位モデル)群 へのアクセスを許可します。Up-to-Bedrock-Basic と Up-to-Bedrock-Standard のモデル群も すべて利用可能です。 |
グループ作成時に、ユーザーを割り当てる必要はありません。
3.許可セットの作成
各グループの利用範囲を定義する「許可セット」を作成し、自動有効化への対応と権限の階層化を行います。
-
自動有効化への対応:
現在の仕様に合わせ、初回アクセス時にモデルを自動有効化できるよう、すべての許可セットにaws-marketplace:Subscribe権限を包含させます。
-
権限の階層化
-
Basic: 軽量・高速モデルに限定した
InvokeModel権限を定義。 - Standard: Basic の範囲に加え、中位モデルまでのアクセスを許可。
-
Pro: すべての主要モデル(最上位含む)へのフルアクセスを許可。
-
Basic: 軽量・高速モデルに限定した
「Pro」「Standard」「Basic」の各ポリシーは、2026年1月時点の Bedrock モデルを基にしたものです。実際の運用では最新の情報を反映させる必要があります。
Bedrock-Basic ポリシー
このポリシーでは、主に低コスト、高速応答、または軽量なモデル群の利用を許可しています。
| モデル名(シリーズ) | 主な特徴・用途 |
|---|---|
| Amazon Nova Micro | 超低コストかつ超高速。意図解釈や単純な翻訳、テキスト処理に最適。 |
| Amazon Titan Text Lite | 超高速・低コスト。簡単なテキスト生成や、特定タスクの効率化に適した軽量モデル。 |
| Anthropic Claude Haiku シリーズ | 軽量モデルの枠を超えた知性を持ち、チャットボットの応答速度を重視する場合に最適。 |
| Meta Llama 3.2 (1B / 3B) | 極小サイズのモデル。短文の抽出、データの整理、エッジデバイスに近い速度での動作に適する。 |
| Meta Llama 3 / 3.1 (8B) | Llamaシリーズの軽量版。低リソースで動作し、特定の定型業務の自動化などに利用。 |
| Mistral AI Ministral / Voxtral Mini | 非常に軽量な実力派。特定の定型タスクを最小限のAPIコストで自動化するのに適する。 |
| NVIDIA Nemotron Nano | NVIDIAの技術によりスループットが最適化された、高速な特定用途向けモデル。 |
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "BedrockBasicModelInference",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:*:*:inference-profile/*haiku*",
"arn:aws:bedrock:*:*:inference-profile/*micro*",
"arn:aws:bedrock:*:*:inference-profile/*mini*",
"arn:aws:bedrock:*:*:inference-profile/*nano*",
"arn:aws:bedrock:*:*:foundation-model/amazon.nova-micro-*",
"arn:aws:bedrock:*:*:foundation-model/amazon.titan-text-lite-*",
"arn:aws:bedrock:*:*:foundation-model/anthropic.claude-*-haiku-*",
"arn:aws:bedrock:*:*:foundation-model/meta.llama3-2-*",
"arn:aws:bedrock:*:*:foundation-model/meta.llama3-*-8b-*",
"arn:aws:bedrock:*:*:foundation-model/mistral.ministral-*",
"arn:aws:bedrock:*:*:foundation-model/mistral.voxtral-mini-*",
"arn:aws:bedrock:*:*:foundation-model/nvidia.nemotron-nano-*"
]
},
{
"Sid": "BedrockMarketplaceAccess",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe"
],
"Resource": "*"
}
]
}
Bedrock-Standard ポリシー
このポリシーでは、速度・コスト・精度のバランスに優れたモデルと共に、前述「Bedrock-Basic」のすべてのモデル群の利用を許可しています。
| プロバイダー | モデル名 | 特徴・用途 |
|---|---|---|
| Amazon | Nova 2 Sonic / Nova Lite | 極めて高い応答速度と精度のバランス。RAG(検索拡張生成)やチャットボットの標準的な選択肢。 |
| Anthropic | Claude 3.5 / 4 Sonnet | コーディングアシスタントや高度なデータ分析でデファクトスタンダードとなっている高機能モデル。 |
| Meta | Llama 3.3 70B / Llama 4 Mid | コスパに優れた実務向けモデル。社内文書の要約、レポート作成、複雑な指示追従に最適。 |
| Gemma 3 (12B / 27B 等) | 特定のドメイン(技術文書等)に強いオープンモデル。微調整のベースにも適する。 | |
| Cohere | Command R / R+ | 外部データ参照(RAG)とツール利用(Tool Use)に特化。企業内検索システムの構築に強い。 |
| Amazon | Nova Micro / Titan Text Lite | 超低コスト・超高速。意図解釈や単純な翻訳など、軽量なタスクに最適。 |
| Anthropic | Claude 3.5 / 4.5 Haiku | 軽量ながら高い知性を持ち、速度重視の対話型ボットに最適。 |
| Meta | Llama 3.1 8B | 特定の定型業務を低リソースで自動化するのに適した軽量モデル。 |
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "BedrockStandardModelInference",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:*:*:inference-profile/*sonic*",
"arn:aws:bedrock:*:*:inference-profile/*lite*",
"arn:aws:bedrock:*:*:inference-profile/*sonnet*",
"arn:aws:bedrock:*:*:inference-profile/*haiku*",
"arn:aws:bedrock:*:*:inference-profile/*mid*",
"arn:aws:bedrock:*:*:inference-profile/*r-*",
"arn:aws:bedrock:*:*:foundation-model/amazon.nova-2-sonic-*",
"arn:aws:bedrock:*:*:foundation-model/amazon.nova-lite-*",
"arn:aws:bedrock:*:*:foundation-model/amazon.nova-micro-*",
"arn:aws:bedrock:*:*:foundation-model/anthropic.claude-*-sonnet-*",
"arn:aws:bedrock:*:*:foundation-model/anthropic.claude-*-haiku-*",
"arn:aws:bedrock:*:*:foundation-model/meta.llama3-3-70b-*",
"arn:aws:bedrock:*:*:foundation-model/meta.llama4-mid-*",
"arn:aws:bedrock:*:*:foundation-model/meta.llama3-*-8b-*",
"arn:aws:bedrock:*:*:foundation-model/google.gemma-3-*",
"arn:aws:bedrock:*:*:foundation-model/cohere.command-r*",
"arn:aws:bedrock:*:*:foundation-model/amazon.titan-text-lite-*"
]
},
{
"Sid": "BedrockMarketplaceAccess",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe"
],
"Resource": "*"
}
]
}
Bedrock-Pro ポリシー
このポリシーでは、Amazon Bedrockで提供される主要なプロバイダーのフラグシップモデル(最上位モデル)を含む、ほぼすべてのモデルの利用を許可しています。
| プロバイダー | モデル名 | 特徴・用途 |
|---|---|---|
| Amazon | Nova Premier / Pro | Amazonの最上位モデル。高度な論理推論、大規模なマルチモーダル処理(画像・動画解析)に長ける。 |
| Anthropic | Claude 4.5 Opus / 3.7 Sonnet | 業界最高水準の知性。「Extended Thinking(思考の拡張)」により、数学やプログラミングの難問に対応。 |
| DeepSeek | DeepSeek-R1 | 強化学習による高度な思考プロセスを持つ。推論チェーンを用いた論理パズルや高度なコード生成に特化。 |
| Meta | Llama 4 (High-end) / 3.1 405B | オープンウェイト最高峰の知識量。大規模なデータセットに基づく推論や複雑な指示追従に最適。 |
| Mistral AI | Mistral Large 3 / Pixtral Large | 高い推論効率と多言語対応を両立。Pixtralは高度な画像理解能力も備える。 |
| OpenAI | gpt-oss-safeguard 120b | 高い安全性と汎用性を両立。エンタープライズ向けの堅牢な応答が求められる用途に。 |
| Amazon | Titan Text G1 - Premier | Amazonの厳格なAIガバナンス基準に準拠した、高性能なテキスト生成モデル。 |
| Cohere | Command R / R+ | 大規模なRAG(検索拡張生成)や複雑なツール連携(Agent)において高い精度を発揮。 |
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "BedrockProModelInference",
"Effect": "Allow",
"Action": [
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"Resource": [
"arn:aws:bedrock:*:*:inference-profile/*",
"arn:aws:bedrock:*:*:foundation-model/amazon.nova-*",
"arn:aws:bedrock:*:*:foundation-model/anthropic.claude-*",
"arn:aws:bedrock:*:*:foundation-model/meta.llama*",
"arn:aws:bedrock:*:*:foundation-model/deepseek.deepseek-r1*",
"arn:aws:bedrock:*:*:foundation-model/mistral.mistral-large-*",
"arn:aws:bedrock:*:*:foundation-model/mistral.pixtral-large-*",
"arn:aws:bedrock:*:*:foundation-model/openai.gpt-oss-safeguard-*",
"arn:aws:bedrock:*:*:foundation-model/amazon.titan-*",
"arn:aws:bedrock:*:*:foundation-model/cohere.command-r*"
]
},
{
"Sid": "BedrockMarketplaceAccess",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe"
],
"Resource": "*"
}
]
}
4. AWSアカウントの割り当て
作成した「グループ」と「許可セット」を AWSアカウント へ紐づけ、実際にユーザーが権限を行使できる状態にします。
- アカウントの選択
- 許可セットの紐づけ
- ユーザーをグループに追加
① アカウントの選択
割り当てる「グループ」を選択し、AWS アカウントタブをクリックします。
画面 右側の「アカウントを割り当てる」ボタンをクリックします。
割り当て画面が表示されたら、AWS Organizations の組織構造から 割当先の AWSアカウント を一つ選んでチェックを付けます。
※ 黒塗りばかりですが(汗)、AWS アカウントにチェックを付けています。
② 許可セットの紐づけ
グループに関連付ける許可セットを選び、チェックを付けます。
Upto-Bedrock-Basic グループには Bedrock-Basic 許可セットを関連付けます。
チェック後、右下端の「割り当てる」ボタンをクリックします。
グループ画面に戻ると、割り当てた AWSアカウント と アカウントに適用されている許可セットを確認することができます。
③ ユーザーをグループに追加
グループにユーザーを割り当てます。
本記事ではユーザーの設定画面から割り当てますが、グループの設定画面からでも割り当てることは可能です。
ユーザー 一覧を表示してから、対象ユーザー をクリックしてください。
グループタブをクリックします。
ユーザーをグループに追加 画面を開き、作成済みのグループ3種にチェックを付けます。付けた後、「ユーザーをグループに追加」ボタンをクリックします。
モデルの利用許可申請
現在の仕様では、モデルは初回呼び出し時に自動有効化されますが、Anthropic 社などの一部のモデルについては、事前にユースケース(利用目的)の送信が必要なようです。
モデルカタログ画面から、申請するモデルを選択してください。
従来は モデルアクセス画面 からモデルを選択していましたが、同画面は廃止されたようです。
モデル画面 右上の「プレイグラウンド」ボタンをクリックします。
モデル選択画面から対象のモデルを選択します。
下図では Anthropic の Claude 3.7 Sonnet を選択しています。
Anthropic のモデルを初めて選択した時は、利用許可の申請 を行う必要があります。この申請はモデル毎に実施する必要は無く、Anthropicに対して1回だけ申請を行います。
将来的に新しいモデルシリーズが登場したとき や モデルのリージョンを変更した際に、再申請が必要となる可能性もあります。
上記は、個人開発を利用目的とした入力例です。
適切なユースケース(利用目的)を入力してから「Submit use case details」ボタンをクリックしてください。
入力例
| 項目名 | 入力例 |
|---|---|
| Company name | Individual Developer (またはご自身の氏名) |
| Company website URL |
https://aws.amazon.com/ (個人のサイトがない場合は、AWSのトップURLなどでも可) |
| What industry do you operate in? | Software as a Service |
| Who are the intended users you are building for? | Internal users(自分自身が使うため)をチェック |
| Describe your use cases | I am an individual developer using Claude to assist with software development, including code generation, debugging, and refactoring within my local IDE (VS Code with Roo Code). The model will be used to improve personal coding productivity. |
クライアント(PC)側からの接続設定
CLI や IDE から SSO 経由で Bedrock を利用するための設定を行います。
1. SSO プロファイルの作成
PowerShell プロンプト画面で aws configure sso コマンドを実行します。
下表は、対話形式での入力例です。
| 入力項目 | 値 |
|---|---|
| session name | my-auth-portal (SSO接続用のセッション名) |
| start URL | https://{Identity Store ID}.awsapps.com/start/ ({Identity Store ID} : IAM Identity Center 設定画面にある『AWS アクセスポータルの URL』から確認できます) |
| region | ap-northeast-1 (Identity Center を構築したリージョンを指定) |
| registration scopes | ※ 未入力のまま Enterキー を押下。 |
PS C:\Users\*****> aws configure sso
SSO session name (Recommended): my-auth-portal
SSO start URL [None]: https://************.awsapps.com/start/
SSO region [None]: ap-northeast-1
SSO registration scopes [sso:account:access]:
Attempting to automatically open the SSO authorization page in your default browser.
If the browser does not open or you wish to use a different device to authorize this request, open the following URL:
https://************.awsapps.com/start/#/device
Then enter the code:
@@@@-@@@@
registration scopes を未入力のまま Enterキー を押下した後、自動的にブラウザ画面が開きます。開かない場合、表示される URL をコピーし、手動でブラウザに張り付けて開きます。
※ https://************.awsapps.com/start/#/device がURLです。
最後の @@@@-@@@@ は認証リクエスト確認用のコード値です。
ブラウザの画面が「SSO ポータル ログイン画面」に切り替わったら、通常どおりの手順でログイン操作を進めます。
ログイン直後、「認証がリクエストされました」が表示されます。
PowerShell画面に表示されている認証リクエスト確認用のコード値と同じ値であることを確認してください。
「確認して続行」ボタンをクリックすると、アクセス許可の確認画面が表示されます。そのまま「アクセスを許可」ボタンをクリックします。
アクセスが承認されると次の画面が表示されます。
リクエストが承認されると、PowerShell画面の表示が再開されます。
ロール(許可セット) の選択を促す ポップアップ リストが表示されるので、適用する許可セットを選択します。
The only AWS account available to you is: ************
Using the account ID ************
There are 4 roles available to you.
上下のカーソルキーで項目を選び、Enterキー を押下してください。
ロールを選択後、保存するプロファイルの情報を入力します。
下表は、対話形式での入力例です。
| 入力項目 | 値 |
|---|---|
| default client Region | us-east-1 (Bedrock モデルを利用するリージョン) |
| default output format | json |
| profile name | bedrock-basic (プロファイルの名称) |
The only AWS account available to you is: ************
Using the account ID ************
There are 4 roles available to you.
Using the role name "Bedrock-Basic"
CLI default client Region [None]: us-east-1
CLI default output format [None]: json
CLI profile name [Bedrock-Basic-************]: bedrock-basic
To use this profile, specify the profile name using --profile, as shown:
aws s3 ls --profile bedrock-basic
PS C:\Users\*****>
configファイル(.aws/config)の構成
接続情報を保存する configファイル(.aws/config)は、ユーザーのホームディレクトリ直下に作成されます。Windows の場合、C:\Users\{ユーザー名}\.awsフォルダに作成されます。
aws configure sso コマンドの実行を繰り返して、必要なプロファイル情報を作成してください。
以下は、許可セット 3種(Pro/Standard/Basic)のプロファイルを作成した後の config ファイルの例です。
[profile bedrock-basic]
sso_session = my-auth-portal
sso_account_id = ************
sso_role_name = Bedrock-Basic
region = us-east-1
output = json
[sso-session my-auth-portal]
sso_start_url = https://************.awsapps.com/start/
sso_region = ap-northeast-1
sso_registration_scopes = sso:account:access
[profile bedrock-standard]
sso_session = my-auth-portal
sso_account_id = ************
sso_role_name = Bedrock-Standard
region = us-east-1
output = json
[profile bedrock-pro]
sso_session = my-auth-portal
sso_account_id = ************
sso_role_name = Bedrock-Pro
region = us-east-1
output = json
2. SSO ログインのテスト
Bedrock モデルを利用する際は、aws sso login --profile {プロファイル名} コマンドを実行して SSO ログイン認証 を実施します。
PS C:\Users\*****> aws sso login --profile bedrock-basic
Attempting to automatically open the SSO authorization page in your default browser.
If the browser does not open or you wish to use a different device to authorize this request, open the following URL:
https://************.awsapps.com/start/#/device
Then enter the code:
@@@@-@@@@
最後の @@@@-@@@@ は認証リクエスト確認用のコード値です。
SSO プロファイル作成時と同じように、ブラウザ画面が自動的に開きます。
「認証がリクエストされました」が表示されたら 認証リクエスト確認用のコード値と同じ値であることを確認し、「アクセスを許可」ボタンをクリックしてください。
認証リクエストが許可されると、Successfully logged into... と表示されます。
Then enter the code:
@@@@-@@@@
Successfully logged into Start URL: https://*****.awsapps.com/start/
PS C:\Users\*****>
終わりに
IAM Identity Center を介した安全な Bedrock 利用環境が整いました。
次回は 実際に Bedrockモデルの呼び出し テストを実施してみます。
呼び出せることを確認した後、VSCode(Cline/Roo Code)からの呼び出しも試してみたいと思います。