コンテンツにスキップ
Reports
Classmethod Bedrock Claude Jp Iam Role

日本国内だけでAmazon BedrockのClaudeモデル実行を許可するIAMロールを試してみた

  • URL: https://dev.classmethod.jp/articles/force-invokation-claude-in-jp-geo-with-iam-role/
  • 日付: 2026-06-04
  • Tier: Tier 3
  • 要旨: 日本国内クロスリージョン推論プロファイル(jp.* プレフィックス)を使い、IAMポリシーでグローバル推論プロファイルへのアクセスをブロックする方法を実測検証。推論プロファイルARNと基盤モデルARNの両方を許可する必要があること、条件キーbedrock:InferenceProfileArnの使い方を確認した。

詳細

日本国内向け推論プロファイル(Claude Sonnet 4.5の例) 

"inferenceProfileArn": "arn:aws:bedrock:ap-northeast-1:<ACCOUNT_ID>:inference-profile/jp.anthropic.claude-sonnet-4-5-20250929-v1:0"
"models": [
  "arn:aws:bedrock:ap-northeast-3::foundation-model/...",
  "arn:aws:bedrock:ap-northeast-1::foundation-model/..."
]

→ ap-northeast-1(東京)と ap-northeast-3(大阪)にルーティング

必要なIAMポリシーの構造

  1. 推論プロファイルへのInvoke許可
  2. ルーティング先の基盤モデルへのInvoke許可(条件キーで「このプロファイル経由のみ」に限定

検証結果

  • グローバルプロファイル(global.*)指定 → AccessDeniedException で正しくブロック
  • 基盤モデルへの許可を省いた場合 → ap-northeast-3へのルーティング先でエラー(モデル権限も必要なことを確認)

補足

  • JP Anthropic Claude Opus 4.8 など新モデル向けの推論プロファイルも公開済み
  • Service Control Policy(SCP) でも同様の制限が可能(本記事では未検証)
  • Claude Sonnet 4.5はGeoまたはGlobal推論プロファイル経由のみ利用可能(直接個別リージョン指定不可)
Classmethod Aws Nfw Brave SearchClassmethod Dbt Wizard Public Preview