핵심 요약
AWS가 Claude Code를 Amazon Bedrock에 배포하기 위해 LLM Gateway를 구축하고, IAM Identity Center SSO 연결과 LiteLLM Proxy 기반의 게이트웨이로 사용량 추적과 예산 관리가 가능하도록 엔터프라이즈 운영 체계를 마련했습니다.
구현 방법
- SSO 로그인 및 인증: IAM Identity Center와 SAML 2.0 외부 IdP 연동 가능, API Gateway IAM Auth와 Token Service로 자격증명을 관리
- Virtual Key 관리: Token Service가 DynamoDB 캐시로 Virtual Key를 발급/저장하고 apiKeyHelper를 통해 Claude Code에 Bearer Token 제공
- Bedrock 호출: Claude Code는 LiteLLM의 Pass-through 모드로 Bedrock InvokeModel에 직접 전달, 모든 호출은 VPC 엔드포인트를 통해 비공개 네트워크에서 처리
- 운영 및 보안: 5-Layer 인증 체인, 감사 로그 활성화, CloudWatch/Athena를 통한 사용량 모니터링 및 Aurora Serverless로 비용 추적
- 배포 방식: AWS CDK NestedStack로 전체 인프라를 구성해 한 번의 배포로 운영 가능
주요 결과
- 개발자는 aws sso login과 claude 실행만으로 인증 흐름이 자동화
- 사용자별 예산 설정으로 월 사용량 관리 및 초과 시 차단 가능
- 외부 IdP 연동과 Guardrails/프라이빗 네트워크 구성을 통한 엔터프라이즈 보안 강화
