Amazon Bedrock

OpenClaw kann Amazon Bedrock-Modelle über pi-ais Bedrock Converse Streaming-Provider nutzen. Bedrock-Authentifizierung verwendet die Standard-Credential-Chain des AWS SDK, keinen API-Key.

Was pi-ai unterstützt

  • Provider: amazon-bedrock
  • API: bedrock-converse-stream
  • Auth: AWS-Credentials (Umgebungsvariablen, Shared Config oder Instance Role)
  • Region: AWS_REGION oder AWS_DEFAULT_REGION (Standard: us-east-1)

Automatische Modellerkennung

Wenn AWS-Credentials erkannt werden, kann OpenClaw automatisch Bedrock-Modelle entdecken, die Streaming und Textausgabe unterstützen. Die Erkennung nutzt bedrock:ListFoundationModels und wird gecacht (Standard: 1 Stunde).

Konfigurationsoptionen befinden sich unter models.bedrockDiscovery:

{
  models: {
    bedrockDiscovery: {
      enabled: true,
      region: "us-east-1",
      providerFilter: ["anthropic", "amazon"],
      refreshInterval: 3600,
      defaultContextWindow: 32000,
      defaultMaxTokens: 4096,
    },
  },
}

Hinweise:

  • enabled ist standardmäßig true, wenn AWS-Credentials vorhanden sind.
  • region verwendet standardmäßig AWS_REGION oder AWS_DEFAULT_REGION, dann us-east-1.
  • providerFilter filtert nach Bedrock-Provider-Namen (zum Beispiel anthropic).
  • refreshInterval ist in Sekunden; setze auf 0, um Caching zu deaktivieren.
  • defaultContextWindow (Standard: 32000) und defaultMaxTokens (Standard: 4096) werden für entdeckte Modelle verwendet (überschreibe sie, wenn du die Limits deines Modells kennst).

Onboarding

  1. Stelle sicher, dass AWS-Credentials auf dem Gateway-Host verfügbar sind:
export AWS_ACCESS_KEY_ID="AKIA..."
export AWS_SECRET_ACCESS_KEY="..."
export AWS_REGION="us-east-1"
# Optional:
export AWS_SESSION_TOKEN="..."
export AWS_PROFILE="your-profile"
# Optional (Bedrock API-Key/Bearer-Token):
export AWS_BEARER_TOKEN_BEDROCK="..."
  1. Füge einen Bedrock-Provider und ein Modell zu deiner Konfiguration hinzu (kein apiKey erforderlich):
{
  models: {
    providers: {
      "amazon-bedrock": {
        baseUrl: "https://bedrock-runtime.us-east-1.amazonaws.com",
        api: "bedrock-converse-stream",
        auth: "aws-sdk",
        models: [
          {
            id: "us.anthropic.claude-opus-4-6-v1:0",
            name: "Claude Opus 4.6 (Bedrock)",
            reasoning: true,
            input: ["text", "image"],
            cost: { input: 0, output: 0, cacheRead: 0, cacheWrite: 0 },
            contextWindow: 200000,
            maxTokens: 8192,
          },
        ],
      },
    },
  },
  agents: {
    defaults: {
      model: { primary: "amazon-bedrock/us.anthropic.claude-opus-4-6-v1:0" },
    },
  },
}

EC2 Instance Roles

Wenn OpenClaw auf einer EC2-Instanz mit einer angehängten IAM-Rolle läuft, nutzt das AWS SDK automatisch den Instance Metadata Service (IMDS) zur Authentifizierung. Allerdings prüft OpenClaws Credential-Erkennung derzeit nur Umgebungsvariablen, nicht IMDS-Credentials.

Workaround: Setze AWS_PROFILE=default, um zu signalisieren, dass AWS-Credentials verfügbar sind. Die eigentliche Authentifizierung nutzt weiterhin die Instance Role über IMDS.

# Zu ~/.bashrc oder deinem Shell-Profil hinzufügen
export AWS_PROFILE=default
export AWS_REGION=us-east-1

Erforderliche IAM-Berechtigungen für die EC2 Instance Role:

  • bedrock:InvokeModel
  • bedrock:InvokeModelWithResponseStream
  • bedrock:ListFoundationModels (für automatische Erkennung)

Oder hänge die verwaltete Richtlinie AmazonBedrockFullAccess an.

Schnelleinrichtung (AWS-Weg)

# 1. IAM-Rolle und Instance-Profil erstellen
aws iam create-role --role-name EC2-Bedrock-Access \
  --assume-role-policy-document '{
    "Version": "2012-10-17",
    "Statement": [{
      "Effect": "Allow",
      "Principal": {"Service": "ec2.amazonaws.com"},
      "Action": "sts:AssumeRole"
    }]
  }'

aws iam attach-role-policy --role-name EC2-Bedrock-Access \
  --policy-arn arn:aws:iam::aws:policy/AmazonBedrockFullAccess

aws iam create-instance-profile --instance-profile-name EC2-Bedrock-Access
aws iam add-role-to-instance-profile \
  --instance-profile-name EC2-Bedrock-Access \
  --role-name EC2-Bedrock-Access

# 2. An deine EC2-Instanz anhängen
aws ec2 associate-iam-instance-profile \
  --instance-id i-xxxxx \
  --iam-instance-profile Name=EC2-Bedrock-Access

# 3. Auf der EC2-Instanz Discovery aktivieren
openclaw config set models.bedrockDiscovery.enabled true
openclaw config set models.bedrockDiscovery.region us-east-1

# 4. Workaround-Umgebungsvariablen setzen
echo 'export AWS_PROFILE=default' >> ~/.bashrc
echo 'export AWS_REGION=us-east-1' >> ~/.bashrc
source ~/.bashrc

# 5. Prüfen, ob Modelle entdeckt werden
openclaw models list

Hinweise

  • Bedrock erfordert aktivierten Modellzugang in deinem AWS-Konto/Region.
  • Automatische Erkennung benötigt die Berechtigung bedrock:ListFoundationModels.
  • Wenn du Profile verwendest, setze AWS_PROFILE auf dem Gateway-Host.
  • OpenClaw prüft Credential-Quellen in dieser Reihenfolge: AWS_BEARER_TOKEN_BEDROCK, dann AWS_ACCESS_KEY_ID + AWS_SECRET_ACCESS_KEY, dann AWS_PROFILE, dann die Standard-AWS-SDK-Chain.
  • Reasoning-Unterstützung hängt vom Modell ab; prüfe die Bedrock-Modellkarte für aktuelle Fähigkeiten.
  • Wenn du einen verwalteten Key-Flow bevorzugst, kannst du auch einen OpenAI-kompatiblen Proxy vor Bedrock setzen und ihn als OpenAI-Provider konfigurieren.
arrow_back
Zurück
Anthropic
Weiter
Cloudflare Ai Gateway
arrow_forward