7月1日、DevOps.comのTom Smithが「Anthropic Adds Enterprise Gateway to Simplify Claude Code Access on AWS and Google Cloud」と題した記事を公開した。大規模な開発組織でAIコーディングツールを展開しようとすると、必ずぶつかる壁がある。新入社員ごとにクラウドクレデンシャルを発行し、各マシンに設定を配布し、財務部門向けにコスト可視化の仕組みを別途用意する——こうした作業の積み重ねが、パイロット止まりで本番展開に踏み切れない組織を量産してきた。Anthropicが今回発表したエンタープライズゲートウェイは、この問題に正面から対処する。
クレデンシャル管理の煩雑さを一掃するゲートウェイ
Anthropicが発表したEnterprise Gateway(公式ドキュメント上の表記。以下「ゲートウェイ」と呼ぶ)は、単一のステートレスコンテナとして自組織のインフラ上にデプロイし、PostgreSQLデータベースをバックエンドに持つ構成だ。Amazon BedrockおよびGoogle Cloud上でClaude Codeを動かす際の、ID管理・ポリシー適用・使用量追跡・コスト管理を一元化する。
ゲートウェイが担う5つの機能
1. ID管理(最も重要な変化)
ゲートウェイは**OpenID Connect(OIDC)のリライングパーティとして動作する。OIDCはOAuth 2.0をベースにした認証の業界標準規格で、Google Workspace、Microsoft Entra ID、Okta、その他の標準準拠OIDCプロバイダーと連携する。開発者マシンに長期間有効なシークレットを保存する代わりに、短命セッション**を発行する仕組みだ。
オンボーディングはIDプロバイダーへの追加のみ。オフボーディングも同様で、孤立したAPIキーが残り続けるリスクがなくなる。これは単なる利便性ではなく、セキュリティ上の実質的な改善である。
2. ポリシー管理
管理者がサーバー側で設定を一度定義すれば、クライアントはサインイン時に自動でそのポリシーを取得する。許可するモデルやデフォルト設定を個々のマシンを追いかけることなく中央から変更できる。
3. テレメトリ
すべてのリクエストに使用量メトリクスが付与され、OTLP(OpenTelemetry Protocol)経由で組織が管理するコレクターに送られる。このデータは自社インフラ内に留まり、Anthropicには送信されない(Claude APIを明示的に使う設定にしない限り)。
4. ルーティング
ゲートウェイが上流クレデンシャルを保持し、Claude API・Amazon Bedrock・Google Cloudへの推論トラフィックをルーティングする。プロバイダー間のフェイルオーバーにも対応する。
5. 支出上限
組織・グループ・個人の各レベルで、日次・週次・月次の支出上限を設定できる。
「コントロールレイヤーを誰が握るか」という問題
The Futurum GroupのVP兼プラクティスリードであるMitch Ashleyは、この発表の構造的な意味合いを次のように指摘している。
「エンタープライズのID管理、ポリシー、コスト帰属、支出上限が、Claude Codeのファーストパーティインフラとして提供されるようになった。モデルプロバイダーが、これまでサードパーティゲートウェイや社内ツールが担っていたアクセス・コストレイヤーを取り込んでいる」
この指摘が示すのは、今回の発表が単なる運用上の便利機能にとどまらず、エンタープライズAIツールチェーンにおける「管理の主導権をどこに置くか」という構造的な問いを提起しているという点だ。これまでHashiCorp VaultやOPA(Open Policy Agent)、あるいは自社ビルドのゲートウェイで担っていたレイヤーを、モデルプロバイダーが直接提供し始めたことを意味する。
同時に、Ashleyはプラットフォームチームが直視すべき未解決の問題も提起している。
「本当の問いは、マルチモデル環境をベンダーごとのゲートウェイで管理するのか、それとも中立的なコントロールポイントで統治するのかだ。このゲートウェイは1つのコーディングツールをスケールで管理可能にする。しかしエージェントが何をするかは制御しない。それが、エンタープライズの自律性を左右するコントロールの問題として残っている」
Claude Code以外のAIエージェントやモデルも併用する組織にとっては、このゲートウェイだけで統治基盤が完結するわけではない。ベンダー固有のゲートウェイを積み重ねるアプローチと、モデル横断の中立コントロールプレーンを置くアプローチのどちらを選ぶかは、引き続き各組織のアーキテクチャ判断に委ねられている。
導入手順
デプロイは以下の流れだ:
- Claude Code CLIバイナリをダウンロード
gateway.yamlにOIDCイシュアーと上流クレデンシャルを記述- IDプロバイダーにOIDCアプリを1つ登録
- クライアントへの展開は
managed-settings.jsonにforceLoginMethodとforceLoginGatewayUrlを設定するだけ
クライアントは初回起動時に自動でゲートウェイに接続する。ゲートウェイは既存のClaudeバイナリに組み込まれており、/loginフローがゲートウェイ対応済みのため、クライアント側の追加設定は不要だ。
また、Anthropicはゲートウェイが使用するプロトコルを公開しており、サードパーティによる互換実装の開発も可能にしている。
詳細はAnthropic Adds Enterprise Gateway to Simplify Claude Code Access on AWS and Google Cloudを参照していただきたい。