4.3. Amazon Bedrockのセットアップ¶

IM-Copilot を利用するための Amazon Bedrock のセットアップ方法について説明します。

項目

前提条件
セットアップ手順

4.3.1. 前提条件 ¶

当セットアップ手順は2025年10月時点の Amazon Bedrock 公開情報をもとに、セットアップの主な流れを記載しています。

詳細な手順については Amazon Bedrock 側のドキュメント（ https://docs.aws.amazon.com/bedrock/latest/userguide/what-is-bedrock.html ）、および、最新情報も参照してください。
コラム

Amazon Bedrock をご利用の場合、弊社が標準で指定しているデフォルトモデルの一部はグローバルクロスリージョン推論で動作します。

データの処理リージョンを特定の地理的範囲に限定する必要がある場合は、地理的クロスリージョン推論プロファイルへの変更が必要です。

対象の機能・モデルおよび変更方法については「Amazon Bedrock を使用する場合」および「クロスリージョン推論プロファイルの利用」を参照してください。
注意

Amazon Bedrockを経由したAnthropic（Claude）モデルの利用に関して

Amazon BedrockはAWSパートナーによるリセール対象サービスですが、Anthropicモデルについてはリセール（再販）に制限が設けられています。

リセラー（AWSソリューションプロバイダー / AWSディストリビューター）経由で契約しているAWSアカウントでは、Anthropic社のリセール認証を受けていないパートナー経由の場合、Anthropicモデルを利用できない場合があります。

リセラー経由で発行されたAWSアカウントでAnthropicモデルを呼び出すと、以下のエラーが発生する場合があります。
ValidationException: Access to this model is not available for channel program accounts.
Reach out to your AWS Solution Provider or AWS Distributor for more information.
Anthropicモデルのリセール認証を取得済みかどうかは、ご契約先のリセラーへお問い合わせください。

AWS直接契約のアカウントを利用されている場合は、この制限は適用されません。

4.3.2. セットアップ手順 ¶

4.3.2.1. モデルアクセス設定 ¶

Amazon Bedrock のモデルは、すべての商用 AWS リージョンでデフォルトで有効化されています。 Anthropic（Claude）モデルを利用する場合は、初回利用時に1回限りの使用フォームの送信が必要です。

AWS マネジメントコンソールにログインします。

https://aws.amazon.com/jp/console/
「すべてのサービス」より「Amazon Bedrock」を検索し、Amazon Bedrock サービスにアクセスします。
プレイグラウンド等から Anthropic モデルを選択し、表示されるフォームに必要事項を入力して送信してください。
コラム
- AWS Organizations の管理アカウントからフォームを送信すると、組織内の全メンバーアカウントで自動的に有効化されます。

4.3.2.2. ポリシーの作成 ¶

AWS マネジメントコンソールにログインします。

https://aws.amazon.com/jp/console/

「すべてのサービス」より「IAM」を検索し、IAMサービスにアクセスします。

メニューより「ポリシー」ページを開き、「ポリシーの作成」をクリックします。

「サービスを選択」にて「Bedrock」を検索し、選択してください。

「すべての Bedrock アクション (bedrock:*)」チェックボックスをオンにします。

「リソース」の「すべて」を選択し、「次へ」をクリックします。

「ポリシー名」に任意のポリシー名を入力し、「ポリシーの作成」をクリックしてください。

ポリシーが作成されました。

作成されたポリシー名は アクセスキーとシークレットキーの作成 や ロールの作成 に使用しますので、控えておいてください。

4.3.2.3. 認証方式の選択 ¶

IM-Copilot から Amazon Bedrock サービスへ接続する際の認証方式として、以下の3通りが利用可能です。

以下、ご利用の認証方式に合わせてセットアップしてください。

認証情報ファイルを利用して認証する場合

設定ファイルに直接記述したアクセスキーとシークレットキーを利用して認証する場合

インスタンスプロファイルを利用して認証する場合 （※Amazon EC2 インスタンス上で iAP が動作している場合のみ）

コラム

各認証方式については、AWSのドキュメントも参考にしてください。

設定ファイルと認証情報ファイルの設定

https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html

IAM ユーザーのアクセスキーの管理

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html

インスタンスプロファイルの使用

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html

4.3.2.3.1. 認証情報ファイルを利用して認証する場合 ¶

4.3.2.3.1.1. ユーザーの作成¶

IAMサービスにアクセスします。

メニューより「ユーザー」ページを開き、「ユーザーの作成」をクリックします。

「ユーザー名」に任意のユーザー名を入力し、「次へ」をクリックしてください。

「許可のオプション」にて「ポリシーを直接アタッチする」を選択してください。

その後、 ポリシーの作成 で作成したポリシー名にチェックし、「次へ」をクリックしてください。

「ユーザーの作成」をクリックしてください。

ユーザーが作成されました。

4.3.2.3.1.2. アクセスキーとシークレットキーの作成¶

IAMサービスにアクセスします。

メニューより「ユーザー」ページを開き、ユーザーの作成 で作成したユーザー名をクリックしてください。

「セキュリティ認証情報」タブをクリックし、「アクセスキー」にて「アクセスキーを作成」をクリックしてください。

「コマンドラインインターフェイス (CLI)」を選択し、「上記のレコメンデーションを理解し、アクセスキーを作成します。」にチェックを入れ、「次へ」をクリックしてください。

「アクセスキーを作成」をクリックしてください。

「アクセスキーを取得」画面でアクセスキーとシークレットアクセスキーを控えるか、「.csv ファイルをダウンロード」をクリックしてください。その後、「完了」をクリックしてください。

アクセスキーとシークレットキーは、認証情報ファイルを利用して認証する場合には、認証情報ファイルの作成 で使用します。

設定ファイルに直接記述したアクセスキーとシークレットキーを利用して認証する場合には、生成AI連携ドライバ設定 で使用します。

4.3.2.3.1.3. 認証情報ファイルの作成¶

認証情報ファイルを利用して認証する場合、 iAP が動作している環境のファイルシステム内に、以下のような方法を用いて認証情報ファイル（credentials）を作成する必要があります。

AWS コマンドラインインターフェイス (AWS CLI) を利用して作成

直接ファイルを用意し、内容を記述して作成

これらの詳細な手順については、AWSが提供するドキュメントを参照してください。
この過程において、アクセスキーとシークレットキーの作成 で作成したアクセスキーとシークレットキーが要求されます。
また、指定したプロファイル名は、生成AI連携ドライバ設定 で使用します。

4.3.2.3.2. 設定ファイルに直接記述したアクセスキーとシークレットキーを利用して認証する場合 ¶

4.3.2.3.2.1. ユーザーの作成¶

IAMサービスにアクセスします。

メニューより「ユーザー」ページを開き、「ユーザーの作成」をクリックします。

「ユーザー名」に任意のユーザー名を入力し、「次へ」をクリックしてください。

「許可のオプション」にて「ポリシーを直接アタッチする」を選択してください。

その後、 ポリシーの作成 で作成したポリシー名にチェックし、「次へ」をクリックしてください。

「ユーザーの作成」をクリックしてください。

ユーザーが作成されました。

4.3.2.3.2.2. アクセスキーとシークレットキーの作成¶

IAMサービスにアクセスします。

メニューより「ユーザー」ページを開き、ユーザーの作成 で作成したユーザー名をクリックしてください。

「セキュリティ認証情報」タブをクリックし、「アクセスキー」にて「アクセスキーを作成」をクリックしてください。

「コマンドラインインターフェイス (CLI)」を選択し、「上記のレコメンデーションを理解し、アクセスキーを作成します。」にチェックを入れ、「次へ」をクリックしてください。

「アクセスキーを作成」をクリックしてください。

「アクセスキーを取得」画面でアクセスキーとシークレットアクセスキーを控えるか、「.csv ファイルをダウンロード」をクリックしてください。その後、「完了」をクリックしてください。

アクセスキーとシークレットキーは、認証情報ファイルを利用して認証する場合には、認証情報ファイルの作成 で使用します。

設定ファイルに直接記述したアクセスキーとシークレットキーを利用して認証する場合には、生成AI連携ドライバ設定 で使用します。

4.3.2.3.3. インスタンスプロファイルを利用して認証する場合 ¶

4.3.2.3.3.1. EC2インスタンスにアタッチされているロールの確認¶

この作業は、利用している iAP が Amazon EC2 インスタンス上で動作していることを前提としています。

AWS マネジメントコンソールにログインします。

https://aws.amazon.com/jp/console/

サービスより「EC2」を検索し、EC2サービスにアクセスします。

メニューより「インスタンス」ページを開き、利用しているインスタンスをクリックします。

「セキュリティ」タブをクリックし、「IAM ロール」に表示されているIAMロールをクリックします。

もし「IAM ロール」にロールが表示されていない場合は、「アクション」＞「セキュリティ」＞「IAM ロールの変更」より、EC2インスタンスの利用用途に応じたIAMロールを割り当ててください。

IAMロールの詳細情報が表示されます。

表示されている「ARN」の文字列を控えておいてください。

4.3.2.3.3.2. ロールの作成¶

この作業は、利用している iAP が Amazon EC2 インスタンス上で動作していることを前提としています。

IAMサービスにアクセスします。

メニューより「ロール」ページを開き、「ロールを作成」をクリックしてください。
「信頼されたエンティティタイプ」にて「カスタム信頼ポリシー」を選択し、「カスタム信頼ポリシー」に以下を入力してください。

${EC2インスタンスにアタッチされたロールのARN} の箇所は、EC2インスタンスにアタッチされているロールの確認 で確認した「ARN」の文字列としてください。

その後、「次へ」を押下してください。
{
   "Version": "2012-10-17",
   "Statement": [
      {
            "Effect": "Allow",
            "Principal": {
               "AWS": "${EC2インスタンスにアタッチされたロールのARN}"
            },
            "Action": "sts:AssumeRole"
      }
   ]
}
「許可ポリシー」にて、 ポリシーの作成 で作成したポリシー名にチェックを入れ、「次へ」をクリックしてください。

「ロール名」に任意のロール名を入力し、「ロールを作成」をクリックしてください。

ロールが作成されました。

作成されたロールのARNは、生成AI連携ドライバ設定 で使用しますので、控えておいてください。

4.3.2.4. ガードレールの作成（任意）¶

Amazon Bedrock Guardrails は、AI モデルへの入出力を監視し、不適切なコンテンツから保護する機能です。
有害なコンテンツや機密情報などを自動的に検出・ブロック・マスキングすることで、安全に生成AIを利用できます。
ガードレール機能を使用する場合は、以下の手順でガードレールを作成してください。

コラム

ガードレール機能の詳細については、 Amazon Bedrock のドキュメントを参照してください。

Amazon Bedrock Guardrails

https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails.html

注意

日本語対応について

日本語コンテンツに対して Amazon Bedrock Guardrails を使用する場合は、以下の点に注意してください。

日本語対応には Standard Tier の利用が必要です。（従来の Classic Tier では日本語はサポートされていません）

Standard Tier では、ガードレール評価に クロスリージョン推論 が使用されます。クロスリージョン推論では、AWS が同一地理エリア内の複数リージョンに処理を分散します。

日本語対応はガードレールの機能ごとに異なります。

例：

コンテンツフィルタ、拒否トピック：日本語対応（Standard Tier）

単語フィルタ、コンテキストグラウンディングチェック：日本語での評価が制限される、または十分に機能しない場合がある

実際の対応状況は利用する機能や設定、実行環境により異なる場合があります。 Guardrails の Tier や言語サポートの詳細については、 Amazon Bedrock のドキュメントを参照してください。

AWS マネジメントコンソールにログインします。

https://aws.amazon.com/jp/console/

サービスより「Amazon Bedrock」を検索し、Amazon Bedrock サービスにアクセスします。

メニューより「ガードレール」ページを開きます。

「ガードレールを作成」をクリックします。

「名前」に任意のガードレール名を入力してください。

利用シナリオに応じて、ステップに従って必要なガードレールの設定を行ってください。

主なポリシーとして、以下のような設定が可能です。

コンテンツフィルタ：有害または不適切なコンテンツを検出・フィルタリング

機密情報フィルタ：個人情報（PII）などの機密情報を検出・ブロック／マスキング

拒否トピック（Denied topics）：特定のトピックに関する入力・出力を制限

単語フィルタ：特定の単語やフレーズをブロック

「ガードレールを作成」をクリックしてください。

ガードレールが作成されました。

作成されたガードレールの「ガードレール ID」は 生成AI連携ドライバ設定 で使用するため、控えておいてください。

作成時点のガードレールのバージョンは「 DRAFT 」です。

コラム

ガードレールのバージョン管理について

作成直後の DRAFT バージョンで動作確認を行った後、本番環境では番号付きのバージョンを作成・指定して使用することを推奨します。

4.3.2.5. ガードレールのテストと調整 ¶

ガードレールを作成した後は、実際の利用シナリオを想定して動作確認および調整を行うことを推奨します。

AWS マネジメントコンソールのガードレールテスト機能を使用することで、入力および出力が想定どおりにブロックまたは許可されるかを確認できます。

コラム

ガードレールのテスト機能の詳細については、 Amazon Bedrock のドキュメントを参照してください。

Test your guardrail

https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-test.html

特に以下の点を重点的に確認してください。

意図しない正常な入力・出力がブロックされていないか

各フィルタの filter strength （フィルタ強度）が適切に設定されているか

フィルタ強度が高すぎる場合、正常なコンテンツがブロックされる可能性があります。

一方、低すぎる場合は不適切なコンテンツを検出できない可能性があります。

実際の使用条件に基づき、適切なバランスとなるよう調整してください。

4.3.2.6. ガードレール違反時の応答メッセージのカスタマイズ ¶

本節では、開発者向け機能（Java ChatAction API、JavaScript ChatAction API）を利用する場合に、ガードレール違反時の応答メッセージを多言語対応する方法について説明します。
開発者向け機能を利用しない場合は、本節の手順は不要です。
各 APIの利用方法の詳細は「開発者向けガイド」を参照してください。

IM-Copilot の標準機能（アシスタントの実行画面）では、ガードレール違反時に製品で用意した固定メッセージが表示されます。

一方、開発者向け機能を使用してチャットを実行する場合、ガードレールの違反種別により以下の挙動が適用されます。

Java ChatAction API 非ストリーミング形式または JavaScript ChatAction API

入力違反時：エラーが発生します（本カスタマイズの対象外）

出力違反時：ガードレール作成時に設定したメッセージ（多言語未対応）がアシスタントの回答として返されます

Java ChatAction API ストリーミング形式

入力違反、出力違反ともにガードレール作成時に設定したメッセージ（多言語未対応）がアシスタントの回答として返されます

出力違反時のメッセージをメッセージキーとして定義することで、利用者の言語設定に応じたメッセージを取得できます。

多言語対応が必要な場合は、以下の方法でメッセージをカスタマイズしてください。

ガードレール作成時に指定するメッセージとして、プレフィックス「MSG.I.IWP.COPILOT」で始まるメッセージキーを設定します。

例：MSG.I.IWP.COPILOT.GUARDRAILS.CONTENT.FILTER

本機能で利用できるデフォルトのメッセージキーをあらかじめ用意しています。
MSG.I.IWP.COPILOT.GUARDRAILS.CONTENT.FILTER=安全性に関するポリシーにより回答できません。
独自のメッセージキーを追加する場合は対応するメッセージキーをメッセージプロパティファイルに定義します。

この設定により、開発者向け機能でのガードレール出力違反時に利用者の言語設定に応じたメッセージが返されます。

目次