記事公開日
Claude Code管理機能比較!EnterpriseとAWS Bedrockの違いを解説
この記事のポイント
Claude Codeを会社へ導入する際、「Claude Enterprise」と「AWS Bedrock」のどちらを経由すべきか迷うケースは少なくありません。本記事では、両者の管理機能を分かりやすく比較・整理します。
- 大半の管理機能は共通:
使えるツール・コマンドの制限やMCP接続先の制限、設定の強制など、主要な統制機能(managed-settings)はどちらの接続先でも共通です。ただし、設定の配信方式の一部(アドミンコンソールからのサーバー管理)はプランによって異なります。 - 比較すべきは3つのポイント:
「認証」「モデル制限」「利用ログ」の3点において違いがあります。手軽さを取るか、きめ細かな統合管理を取るかが選定の鍵です。
はじめに
こんにちは!DXソリューション営業本部の大坂です。
Claude Code をチームや会社で導入するとき、「Claude Enterprise を契約すべきか、それとも自社の AWS Bedrock 経由で使うべきか」と迷う方は多いと思います。
本記事では、Claude Code の管理機能を「共通の部分」と「接続先で変わる部分」に分けて整理し、結局どちらを選べばよいのかを考えていきます。
Claude Code の管理機能の違い
Claude Code を会社で管理する手段について、以下にまとめました。
1. 接続先に関係なく共通の管理
Claude Code には、Anthropic が用意した管理用の設定ファイル(managed-settings)があります。これは利用者が勝手に上書きできない形で会社側から強制適用でき、Claude Code 本体の挙動を統制します。ここで管理できるのは主に以下の通りです。
- 使えるツール / コマンドの制限
Claude Code が実行できる操作(ファイル編集、コマンド実行など)を許可制にする。 - MCP 接続先の制限
外部サービスとの連携(MCP)について、接続先を制限できる。 - 各種設定の強制
利用者が個人で設定を変えられないよう、会社のルールを上書き不可で適用できる。
managed-settings の「設定内容」自体は、接続先が Claude Enterprise でも AWS Bedrock でも共通です。「Claude Code というツール自体をどう縛るか」は、接続先の選択とは別の話なのです。
managed-settings の配信方法は複数あり、そのうち「アドミンコンソールからのサーバー管理(Server-managed settings)」は Claude for Teams または Enterprise プランが必要です。Bedrock 経由で展開する場合は、ファイルベース(
/etc/claude-code/managed-settings.json 等)や MDM、OS のレジストリ/plist を使った配信方法を採用することになります。設定の「内容」は共通でも、「配信の仕組み」はプランによって異なる点に注意が必要です。参考:Claude Code - Set up for your organization(公式)
2. 接続先によって変わる管理
一方で、以下の3点は接続先(Enterprise 経由か Bedrock 経由か)によって仕組みが変わります。
- 認証(誰がログインして使えるか)
- モデル制限(どの AI モデルを使わせるか)
- 利用ログ(誰がいつ使ったかの記録)
つまり、Claude Code の導入を検討するときに「Enterprise か Bedrock か」での比較観点は、以下の3点と考えています。以下、それぞれ見ていきます。
接続先で変わる管理 その1:認証
どちらも Okta や Microsoft Entra ID といった会社の ID 基盤と連携でき、社員アカウントを一元管理できます。違いはログインした後の「通行証」の扱いです。
Claude Enterprise 経由は、Anthropic のログインを使います。一度ログインすればそのまま使え、シンプルです。
AWS Bedrock 経由は、AWS のログインを使います。ログインすると一定時間で自動的に切れる一時的な通行証が発行され、それを使って AI を呼び出します。通行証が自動失効するのでセキュリティは高いのですが、最初に各 PC で AWS の設定をする手間がかかります。なお、Bedrock では通常の AWS 認証情報のほか、Bedrock API キーという簡易的な認証方法も利用可能です。
| 観点 | Claude Enterprise 経由 | AWS Bedrock 経由 |
|---|---|---|
| ログインの仕組み | Anthropic のログイン | AWS のログイン |
| ID 基盤との連携 | 対応 | 対応 |
| ログイン後の通行証 | そのまま使える | 一定時間で自動失効 |
| PC 側の初期設定 | 不要 | AWS の設定が必要 |
接続先で変わる管理 その2:モデル制限
「どの AI モデルを使わせるか」を制限したいケースは多いと思います。
Claude Enterprise 経由でも、専用の設定で「使えるモデルを限定する」ことは可能です。ただしその制限は会社全体に一律でかかり、「開発チームだけ別のモデル」のような部署ごとの出し分けはできません。
AWS Bedrock 経由は、AWS の IAM ポリシーで細かく制御できます。「開発チームは高性能モデルも使える、それ以外は標準モデルだけ」と部署別に分けたり、「特定のモデルだけ禁止」といった指定が可能です。
| やりたいこと | Claude Enterprise 経由 | AWS Bedrock 経由 |
|---|---|---|
| 使えるモデルの制限(全社) | できる | できる |
| 使えるモデルの制限(部署別) | できない | できる |
| 特定モデルだけ禁止 | できない | できる |
接続先で変わる管理 その3:利用ログ
「誰がいつ Claude Code を使い、どのモデルを呼んだか」を記録するログの仕組みも異なります。
Claude Enterprise 経由は、Compliance API(専用の窓口)からログを取得します。
以前は「自分で取りに行く」方式のみで、自社に貯める仕組みを自前で作る必要がありましたが、2025年8月に Compliance API が整備され、CrowdStrike・Microsoft Purview・Datadog など多数のセキュリティツールとのネイティブ連携が可能になっています。ただし Compliance API は Enterprise プラン限定・要申請であり、会話の内容ログ(チャット・添付ファイル等)も取得できます。
参考:Claude Compliance API(公式ドキュメント)
AWS Bedrock 経由は、AWS の標準ログ機能「モデル呼び出しログ(Model invocation logging)」を使います。有効化すると「誰がいつどのモデルを呼んだか」が S3 または CloudWatch Logs に記録されます。ただし、この機能はデフォルトでは無効であり、Bedrock コンソールから明示的に有効化する必要があります。また、プロンプトや応答の内容まで記録するには、CloudTrail(メタデータのみ)ではなく、モデル呼び出しログを別途有効化することが必要です。
参考:Amazon Bedrock モデル呼び出しログ(AWS公式)
| 観点 | Claude Enterprise 経由 | AWS Bedrock 経由 |
|---|---|---|
| ログの取り方 | Compliance API 経由(要申請) | モデル呼び出しログ(要有効化) |
| デフォルトの状態 | 申請後に利用可能 | デフォルト無効(要設定) |
| 外部ツール連携 | SIEM・DLP等との連携あり | CloudWatch・S3・CloudTrail と連携 |
| データの保管場所 | Anthropic 側 | 自社の AWS |
どちらの経路を選ぶか
ここまで見てきたように、Claude Code の管理機能の大半(ツール制限・MCP 制限・設定の強制)は接続先に関係なく共通です。選択のポイントになるのは、認証・モデル制限・ログの3点です。これを踏まえると、次のように整理できます。
Claude Enterprise 経由が向くケース
- AWS の運用基盤や専門知識を持つ担当者がいない
- モデル制限は全社一律で十分
- ログ管理は Anthropic に任せたい
- とにかく早く使い始めたい
AWS Bedrock 経由が向くケース
- すでに AWS を使っていて、その管理に統合したい
- 部署ごと・モデルごとに細かく制限を分けたい
- ログを自社の AWS 環境(S3・CloudWatch)で持っておきたい
- (参考)Bedrock の基盤特性として、社内ネットワークに閉じた接続や、データを国内リージョンに留める構成も可能
ざっくり言えば、手軽さ重視なら Claude Enterprise 経由、AWS の統制基盤に統合してきめ細かく管理したいなら Bedrock 経由、という使い分けになります。
2026年5月に「Claude Platform on AWS」が正式リリースされました。Bedrock とは異なり、Anthropic がサービスを運営しながら AWS Marketplace 経由で課金・AWS IAM で認証する仕組みです。ネイティブ Claude の全機能(Managed Agents・スキルシステム等)を AWS エコシステムの中で使いたい場合の新たな選択肢として注目されています。
参考:Claude on Amazon Bedrock(公式ドキュメント)
まとめ
Claude Code を会社で管理するときのポイントをまとめます。
- managed-settings の設定内容(ツール制限・MCP 制限・設定の強制)は接続先に関係なく共通。ただしサーバー管理による配信は Teams/Enterprise プラン限定。Bedrock 経由ではファイルや MDM での配布となる
- 接続先で管理機能の面で変わるのは、認証・モデル制限・ログの3点
- 認証:Bedrock は通行証が自動で切れて安全。ただし PC 側の設定がひと手間(Bedrock API キーという簡易方式もあり)
- モデル制限:Bedrock は IAM で部署別に分けられる。Enterprise は全社一律
- ログ:Bedrock のモデル呼び出しログはデフォルト無効のため要設定。Enterprise は Compliance API(要申請・Enterprise 限定)を通じて SIEM 等と連携可能
「接続先を変えれば管理方法がすべて変わる」わけではなく、変わるのは限られた部分だけ、というのが正確な理解です。自社の状況に合わせて、手軽さを取るか、きめ細かい管理を取るかで選ぶとよいでしょう。
参考リンク
- Set up Claude Code for your organization(Anthropic公式)
- Claude Code on Amazon Bedrock(Anthropic公式)
- Claude Compliance API(Anthropic公式)
- Amazon Bedrock モデル呼び出しログ(AWS公式)
- Microsoft Entra ID SSO setup(Claude Help Center)
- Okta SSO setup(Claude Help Center)
QES では Claude Code をはじめとした各種 AI サービスの企業導入支援について、実際の検証経験をもとにご提案しています。
AWS BedrockでClaudeを使いたい!といった場合でもスムーズに対応可能です。
お気軽にお問い合わせください!
もし「このサービスについて知りたい」「AWS環境の構築、移行」などのリクエストがございましたら、弊社お問い合わせフォームまでお気軽にご連絡ください。 複雑な内容に関するお問い合わせの場合には直接営業からご連絡を差し上げます。 また、よろしければ以下のリンクもご覧ください!
<QES関連ソリューション/ブログ>
<QESが参画しているAWSのセキュリティ推進コンソーシアムがホワイトペーパーを公開しました>
※Claude、Claude Code は、Anthropic, PBC の商標または登録商標です。
※Microsoft、Microsoft Entra ID、Microsoft Purview は、米国 Microsoft Corporation の米国およびその他の国における商標または登録商標です。
※Amazon Web Services、"Powered by Amazon Web Services"ロゴ、およびブログで使用されるその他のAWS商標は、米国その他の諸国における、Amazon.com, Inc.またはその関連会社の商標です。
