Amazon Bedrock
OpenClawは、pi‑aiのBedrock Converseストリーミングプロバイダーを介してAmazon Bedrockモデルを使用できます。Bedrock認証は、APIキーではなくAWS SDKのデフォルト認証情報チェーンを使用します。
pi‑aiがサポートするもの
- プロバイダー: amazon-bedrock
- API: bedrock-converse-stream
- 認証: AWS認証情報(環境変数、共有設定、またはインスタンスロール)
- リージョン: AWS_REGIONまたはAWS_DEFAULT_REGION(デフォルト: us-east-1)
自動モデル検出
AWS認証情報が検出された場合、OpenClawはストリーミングとテキスト出力をサポートするBedrockモデルを自動的に検出できます。検出にはbedrock:ListFoundationModelsを使用し、キャッシュされます(デフォルト: 1時間)。
設定オプションはmodels.bedrockDiscoveryの下にあります:
{
models: {
bedrockDiscovery: {
enabled: true,
region: "us-east-1",
providerFilter: ["anthropic", "amazon"],
refreshInterval: 3600,
defaultContextWindow: 32000,
defaultMaxTokens: 4096
}
}
}
注意点:
- enabledは、AWS認証情報が存在する場合、デフォルトでtrueになります。
- regionは、AWS_REGIONまたはAWS_DEFAULT_REGION、次にus-east-1にデフォルト設定されます。
- providerFilterは、Bedrockプロバイダー名(例:anthropic)と一致します。
- refreshIntervalは秒単位です。キャッシュを無効にするには0に設定します。
- defaultContextWindow(デフォルト: 32000)とdefaultMaxTokens(デフォルト: 4096)は、検出されたモデルに使用されます(モデルの制限を知っている場合は上書きしてください)。
セットアップ(手動)
- gatewayホストでAWS認証情報が利用可能であることを確認します:
export AWS_ACCESS_KEY_ID="AKIA..."
export AWS_SECRET_ACCESS_KEY="..."
export AWS_REGION="us-east-1"
# オプション:
export AWS_SESSION_TOKEN="..."
export AWS_PROFILE="your-profile"
# オプション (Bedrock APIキー/ベアラートークン):
export AWS_BEARER_TOKEN_BEDROCK="..."
- 設定にBedrockプロバイダーとモデルを追加します(apiKeyは不要):
{
models: {
providers: {
"amazon-bedrock": {
baseUrl: "https://bedrock-runtime.us-east-1.amazonaws.com",
api: "bedrock-converse-stream",
auth: "aws-sdk",
models: [
{
id: "anthropic.claude-opus-4-5-20251101-v1:0",
name: "Claude Opus 4.5 (Bedrock)",
reasoning: true,
input: ["text", "image"],
cost: { input: 0, output: 0, cacheRead: 0, cacheWrite: 0 },
contextWindow: 200000,
maxTokens: 8192
}
]
}
}
},
agents: {
defaults: {
model: { primary: "amazon-bedrock/anthropic.claude-opus-4-5-20251101-v1:0" }
}
}
}
EC2インスタンスロール
IAMロールがアタッチされたEC2インスタンスでOpenClawを実行する場合、AWS SDKは認証のためにインスタンスメタデータサービス(IMDS)を自動的に使用します。ただし、OpenClawの認証情報検出は現在、環境変数のみをチェックし、IMDS認証情報はチェックしません。
回避策: AWS認証情報が利用可能であることを示すために、AWS_PROFILE=defaultを設定します。実際の認証は、IMDSを介してインスタンスロールを引き続き使用します。
# ~/.bashrcまたはシェルプロファイルに追加
export AWS_PROFILE=default
export AWS_REGION=us-east-1
EC2インスタンスロールに必要なIAMパーミッション:
- bedrock:InvokeModel
- bedrock:InvokeModelWithResponseStream
- bedrock:ListFoundationModels(自動検出用)
または、管理ポリシーAmazonBedrockFullAccessをアタッチします。
クイックセットアップ:
# 1. IAMロールとインスタンスプロファイルを作成
aws iam create-role --role-name EC2-Bedrock-Access \
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {"Service": "ec2.amazonaws.com"},
"Action": "sts:AssumeRole"
}]
}'
aws iam attach-role-policy --role-name EC2-Bedrock-Access \
--policy-arn arn:aws:iam::aws:policy/AmazonBedrockFullAccess
aws iam create-instance-profile --instance-profile-name EC2-Bedrock-Access
aws iam add-role-to-instance-profile \
--instance-profile-name EC2-Bedrock-Access \
--role-name EC2-Bedrock-Access
# 2. EC2インスタンスにアタッチ
aws ec2 associate-iam-instance-profile \
--instance-id i-xxxxx \
--iam-instance-profile Name=EC2-Bedrock-Access
# 3. EC2インスタンス上で検出を有効化
openclaw config set models.bedrockDiscovery.enabled true
openclaw config set models.bedrockDiscovery.region us-east-1
# 4. 回避策の環境変数を設定
echo 'export AWS_PROFILE=default' >> ~/.bashrc
echo 'export AWS_REGION=us-east-1' >> ~/.bashrc
source ~/.bashrc
# 5. モデルが検出されたことを確認
openclaw models list
注意事項
- Bedrockは、AWSアカウント/リージョンでモデルアクセスが有効になっている必要があります。
- 自動検出にはbedrock:ListFoundationModelsパーミッションが必要です。
- プロファイルを使用する場合は、gatewayホストでAWS_PROFILEを設定してください。
- OpenClawは、次の順序で認証情報ソースを表示します:AWS_BEARER_TOKEN_BEDROCK、次にAWS_ACCESS_KEY_ID + AWS_SECRET_ACCESS_KEY、次にAWS_PROFILE、次にデフォルトのAWS SDKチェーン。
- 推論サポートはモデルに依存します。現在の機能についてはBedrockモデルカードを確認してください。
- 管理されたキーフローを希望する場合は、BedrockのフロントにOpenAI互換のプロキシを配置し、代わりにOpenAIプロバイダーとして設定することもできます。