Amazon Bedrock
OpenClawはpi-aiのBedrock Converseストリーミングプロバイダーを通じてAmazon Bedrockモデルを利用できます。Bedrock認証はAWS SDKのデフォルト認証チェーンを使用し、APIキーは不要です。
pi-aiの対応内容
- プロバイダー:
amazon-bedrock - API:
bedrock-converse-stream - 認証:AWS認証情報(環境変数、共有設定、またはインスタンスロール)
- リージョン:
AWS_REGIONまたはAWS_DEFAULT_REGION(デフォルト:us-east-1)
モデルの自動検出
AWS認証情報が検出されると、OpenClawはストリーミングとテキスト出力に対応するBedrockモデルを自動的に検出します。検出にはbedrock:ListFoundationModelsを使用し、結果はキャッシュされます(デフォルト:1時間)。
設定オプションはmodels.bedrockDiscovery以下にあります:
{
models: {
bedrockDiscovery: {
enabled: true,
region: "us-east-1",
providerFilter: ["anthropic", "amazon"],
refreshInterval: 3600,
defaultContextWindow: 32000,
defaultMaxTokens: 4096,
},
},
}補足:
enabledはAWS認証情報が存在する場合、デフォルトでtrueになります。regionのデフォルトはAWS_REGIONまたはAWS_DEFAULT_REGIONで、指定がなければus-east-1です。providerFilterはBedrockプロバイダー名にマッチします(例:anthropic)。refreshIntervalは秒単位で、0に設定するとキャッシュを無効化できます。defaultContextWindow(デフォルト:32000)とdefaultMaxTokens(デフォルト:4096)は検出されたモデルに適用されます(モデルの実際の上限が分かっている場合は上書きしてください)。
オンボーディング
- ゲートウェイホストでAWS認証情報が利用可能であることを確認します:
export AWS_ACCESS_KEY_ID="AKIA..."
export AWS_SECRET_ACCESS_KEY="..."
export AWS_REGION="us-east-1"
# オプション:
export AWS_SESSION_TOKEN="..."
export AWS_PROFILE="your-profile"
# オプション(Bedrock APIキー/Bearerトークン):
export AWS_BEARER_TOKEN_BEDROCK="..."- Bedrockプロバイダーとモデルを設定に追加します(
apiKeyは不要):
{
models: {
providers: {
"amazon-bedrock": {
baseUrl: "https://bedrock-runtime.us-east-1.amazonaws.com",
api: "bedrock-converse-stream",
auth: "aws-sdk",
models: [
{
id: "us.anthropic.claude-opus-4-6-v1:0",
name: "Claude Opus 4.6 (Bedrock)",
reasoning: true,
input: ["text", "image"],
cost: { input: 0, output: 0, cacheRead: 0, cacheWrite: 0 },
contextWindow: 200000,
maxTokens: 8192,
},
],
},
},
},
agents: {
defaults: {
model: { primary: "amazon-bedrock/us.anthropic.claude-opus-4-6-v1:0" },
},
},
}EC2インスタンスロール
IAMロールがアタッチされたEC2インスタンスでOpenClawを実行すると、AWS SDKはインスタンスメタデータサービス(IMDS)を使って自動的に認証します。ただし、OpenClawの認証情報検出は現在、環境変数のみをチェックしており、IMDS認証情報は確認しません。
回避策: AWS_PROFILE=defaultを設定して、AWS認証情報が利用可能であることを通知します。実際の認証はIMDS経由のインスタンスロールが使用されます。
# ~/.bashrcまたはシェルプロファイルに追加
export AWS_PROFILE=default
export AWS_REGION=us-east-1EC2インスタンスロールに必要なIAM権限:
bedrock:InvokeModelbedrock:InvokeModelWithResponseStreambedrock:ListFoundationModels(自動検出用)
または、マネージドポリシーAmazonBedrockFullAccessをアタッチしてください。
クイックセットアップ(AWSパス)
# 1. IAMロールとインスタンスプロファイルを作成
aws iam create-role --role-name EC2-Bedrock-Access \
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {"Service": "ec2.amazonaws.com"},
"Action": "sts:AssumeRole"
}]
}'
aws iam attach-role-policy --role-name EC2-Bedrock-Access \
--policy-arn arn:aws:iam::aws:policy/AmazonBedrockFullAccess
aws iam create-instance-profile --instance-profile-name EC2-Bedrock-Access
aws iam add-role-to-instance-profile \
--instance-profile-name EC2-Bedrock-Access \
--role-name EC2-Bedrock-Access
# 2. EC2インスタンスにアタッチ
aws ec2 associate-iam-instance-profile \
--instance-id i-xxxxx \
--iam-instance-profile Name=EC2-Bedrock-Access
# 3. EC2インスタンス上でモデル検出を有効化
openclaw config set models.bedrockDiscovery.enabled true
openclaw config set models.bedrockDiscovery.region us-east-1
# 4. 回避策の環境変数を設定
echo 'export AWS_PROFILE=default' >> ~/.bashrc
echo 'export AWS_REGION=us-east-1' >> ~/.bashrc
source ~/.bashrc
# 5. モデルが検出されたことを確認
openclaw models list補足
- BedrockにはAWSアカウント/リージョンでモデルアクセスを有効にする必要があります。
- 自動検出には
bedrock:ListFoundationModels権限が必要です。 - プロファイルを使用する場合は、ゲートウェイホスト上で
AWS_PROFILEを設定してください。 - OpenClawは認証情報ソースを次の順序で検出します:
AWS_BEARER_TOKEN_BEDROCK、AWS_ACCESS_KEY_ID+AWS_SECRET_ACCESS_KEY、AWS_PROFILE、デフォルトのAWS SDKチェーン。 - 推論サポートはモデルによって異なります。現在の対応状況はBedrockモデルカードを確認してください。
- マネージドキーフローを好む場合は、Bedrockの前にOpenAI互換プロキシを配置し、OpenAIプロバイダーとして設定することもできます。