Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
CCoE実践者コミュニティ関西 #7 - arap - Amazon Bedrock クロスリ...
Search
arap / 0air
July 17, 2025
2
500
CCoE実践者コミュニティ関西 #7 - arap - Amazon Bedrock クロスリージョン推論とリージョン制限について
https://ccoekansai.connpass.com/event/358335/
arap / 0air
July 17, 2025
Tweet
Share
More Decks by arap / 0air
See All by arap / 0air
KAGのLT会 #8 - 東京リージョンでGAしたAmazon Q in QuickSightを使って、報告用の資料を作ってみた
0air
0
210
DevelopersIO 2025 Osaka - 生成AI×AWSコスト最適化のススメ
0air
0
360
【大阪開催】 AWS re:Inforce 2025 振り返り勉強会「AWS WAF と Certificate Manager のアップデートを試してみた」
0air
0
220
midosuji.tech #6 - arap - Amazon Q Developer CLI ショートラボ(Vibe Coding)
0air
0
210
3分で理解する Amazon Q Developer: transform for VMware Workloads
0air
0
580
激動のAWS for VMwareについて語ります
0air
0
430
AWS re:Invent ふりかえり勉強会「クラスメソッド re:Growth 2024 大阪」 - arap
0air
0
940
re:Invent 2023への渡航中に鞄を紛失! 落ち着いて行動するための体験談
0air
0
830
これから始める Nutanix Cloud Clusters on AWS
0air
0
350
Featured
See All Featured
We Have a Design System, Now What?
morganepeng
53
7.8k
Rails Girls Zürich Keynote
gr2m
95
14k
How To Stay Up To Date on Web Technology
chriscoyier
791
250k
Scaling GitHub
holman
463
140k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.2k
Building a Scalable Design System with Sketch
lauravandoore
462
33k
It's Worth the Effort
3n
187
28k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
Intergalactic Javascript Robots from Outer Space
tanoku
273
27k
The Invisible Side of Design
smashingmag
301
51k
Making the Leap to Tech Lead
cromwellryan
135
9.5k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
960
Transcript
Amazon Bedrock クロスリージョン 推論とリージョン制限について クラスメソッド株式会社 クラウド事業本部 コンサルティング部 ソリューションアーキテクト 荒平 祐次
/ arap
荒平 祐次 (Arahira Yuji) クラスメソッド株式会社 クラウド事業本部 コンサルティング部 ソリューションアーキテクト - 経歴
◦ ⾼専→SIer (約5年)→クラスメソッド(約2.5年) - 業務内容 ◦ AWS全般のインテグレーション‧お悩み相談 ◦ ブログ執筆 - 趣味 ◦ Twitter (@eiraces) ◦ ゲーム (最近はマリオカートワールド) - 受賞歴 ◦ 2025 Japan AWS Top Engineer ◦ AWS Community Builder (Serverless) ◦ VMware vExpert 2022-2025 about me 2
• Amazon Bedrockのクロスリージョン推論について • 推論プロファイルの仕組みと動作 • Service Control Policy (SCP)
環境下での制約 • 解決アプローチを検討してみる 本⽇の内容 3
Amazon Bedrockのクロスリージョン推論について
従来のAPI呼び出し⽅法 クロスリージョン推論? 5 ap-northeast-1 Amazon Bedrock コール元 (利⽤者‧端末など) Aniちゃん今⽇も かわいいね
すみません、 ⼈違いだと思います
複数のリージョンによる推論 クロスリージョン推論? 6 ap-northeast-1 Amazon Bedrock コール元 (利⽤者‧端末など) ap-southeast-2 Amazon
Bedrock モデルごとに設定された プロファイル ap-northeast-1 ユーザーが意図しない ところで トラフィックバーストを防 いでくれています
⽤語の整理 7 ap-northeast-1 Amazon Bedrock コール元 (利⽤者‧端末など) ap-southeast-2 Amazon Bedrock
モデルごとに設定された プロファイル ap-northeast-1 Source Region (APIリクエストを処理) Destination Region (実際の推論処理を実⾏) Pre-defined Inference Profiles (事前定義推論プロファイル)
どこで実⾏されるかは確認可能 8 APAC系のリージョン なお推論プロファイルは Immutableであり、 バージョンが変更されない限り はリージョン追加などされない 推論プロファイルでサポートされているリージョンとモデル https://docs.aws.amazon.com/ja_jp/bedrock/latest/userguide/inference-profiles-support.html
リージョンの壁は超えないようになっている 9 東京に向けてCallしたら APAC内で推論する (USやEUに⾏かない) 東京に端末があっても USに向けてCallすること もできる
AWS統制におけるリージョン制限
AWSドキュメントでは「⼀般的な例」として1番⽬に紹介 利⽤できるリージョンを制限 11 一般的な例 https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_sc ps_examples_general.html
⼀般的にはOrganizations OUに対してSCPを付与、 またはControl Tower管理のOUに対してコントロール(SCP)を付与 Service Control Policy (SCP)による制御 12
主要なリージョン(東京、⼤阪、バージニア北部など)以外は 操作禁⽌(Deny)に指定している環境もあると思います ということで 13 ap-northeast-1 ap-southeast-2 ap-northeast-3
困ってしまいましたね 14
実際の画⾯ 15 a service control policy explicitly denies the action
解決アプローチを検討してみる
メリット: - CT管理やSCPを解除するだけ - あまり細かいことを気にしなくて良い デメリット: - 統制したいからOrganizations管理しているのでは‧‧‧? - 管理されていない=組織のセキュリティホールになる
1. 統制管理から外す 17
メリット: - OrganizationsやControlTowerに⼿を加えなくて良い デメリット: - 対応しているモデルが少なくなってきている - 東京リージョンでは、Claude 3.5 V1,
Nova Lite くらい 2. クロスリージョン推論を利⽤しないモデルのみ利⽤する 18
2. クロスリージョン推論を利⽤しないモデルのみ利⽤する 19
メリット: - APACすべてのリージョンを利⽤可能(管理下)にして解決 - 解決までのスピードは早い デメリット: - リージョン数を最⼩に絞っていた反動‧抵抗がある - セキュリティチェックなどのコストは発⽣する
3. 制限リージョンを変更する 20
4. SCPを変更してBedrockを許可する 21
4. SCPを変更してBedrockを許可する 22
メリット: - 気軽にBedrock(特にCross-region推論)を解放することができる デメリット: - 特になし - ControlTower マネージドのポリシーを変更するのはBad Practiceの
ため注意 4. SCPを変更してBedrockを許可する 23
5. SCPを変更してBedrockのモデルを個別に許可する 24 マルチアカウント環境で Amazon Bedrock クロスリージョン推論を有効化する https://aws.amazon.com/jp/blogs/news/enable-amazon-bedrock-cross-region-inference-in-multi-account-environments/ 指定したモデルを許可したIAMロールを作成 し、CTのコントロールから除外する
プリンシパルとして指定
メリット: - AWS Blogで紹介されている(≒ Official) - ⼀番セキュアに実装できる - 使いたくないモデルが出てきた際に制限しやすい デメリット:
- モデルが増えたときに追加管理が⾯倒、負荷が⾼い 5. SCPを変更してBedrockのモデルを個別に許可する 25
さいごに
クロスリージョン推論とリージョン制限は相性がイマイチ 選択肢を知って、正しく統制管理しましょう 組織内で増え続ける⽣成AI需要に、対応を頑張っていきましょう…! さいごに 27
None