Claude Cowork on Bedrock:企业 AI 协作从"API 裸调"到"内网闭环"
安全团队说数据不能出 AWS。之前用 Claude 只能走 Anthropic API,数据出 VPC 走公网——合规否决。上周 Claude Cowork 登陆 Bedrock,这个问题没了。
核心变化
Claude Cowork 在 Amazon Bedrock 上可用意味着:
- 数据全程 VPC 内网(配 VPC Endpoint)
- IAM 管权限(到团队/角色级别)
- CloudTrail 审计每次调用
- AWS Budgets 控成本
企业内部推 AI 协作的安全合规阻力基本消除。
Claude Cowork vs 普通 Claude API 调用
| 特性 | 普通 API | Cowork |
|---|---|---|
| 交互模式 | 一问一答 | 持续协作 |
| 记忆 | 无/手动管理 | 项目级持久记忆 |
| 多人 | 不支持 | 多人同一 Claude 实例 |
| 主动性 | 被动响应 | 可主动推进任务 |
实际用法
代码审查
import boto3
bedrock = boto3.client('bedrock-runtime')
response = bedrock.converse(
modelId='anthropic.claude-sonnet-4-20250514',
messages=[{'role': 'user', 'content': [{'text': f'''
你是团队代码审查员。审查以下 PR:
{diff}
标注 critical/warning/info 级别问题。
'''}]}]
)
知识库问答(RAG)
response = bedrock.retrieve_and_generate(
input={'text': '线上限流策略是什么?'},
retrieveAndGenerateConfiguration={
'type': 'KNOWLEDGE_BASE',
'knowledgeBaseConfiguration': {
'knowledgeBaseId': 'KB-internal-docs',
'modelArn': 'arn:aws:bedrock:us-west-2::foundation-model/anthropic.claude-sonnet-4-20250514'
}
}
)
运营自动化
定时触发 → Claude 拉 CloudWatch 指标 → 分析异常 → 生成报告 → 推送。
安全配置
# VPC Endpoint(确保流量不出 VPC)
aws ec2 create-vpc-endpoint \
--vpc-id vpc-xxx \
--service-name com.amazonaws.us-west-2.bedrock-runtime \
--vpc-endpoint-type Interface \
--private-dns-enabled
# IAM 按团队分权限
# Condition: aws:PrincipalTag/team = engineering
成本
| 模型 | 输入 | 输出 | 适用场景 |
|---|---|---|---|
| Haiku 3.5 | $0.80/MTok | $4/MTok | 分类/简单问答 |
| Sonnet 4 | $3/MTok | $15/MTok | 日常协作 |
| Opus 4 | $15/MTok | $75/MTok | 复杂推理 |
设 Budgets 告警,避免 Opus 用量失控。
部署建议
- 从 Sonnet 4 开始(够用且便宜)
- 必配 VPC Endpoint
- IAM 策略按团队隔离
- CloudTrail 开启(合规必须)
- Budgets 设月度上限
在亚马逊云科技 Bedrock us-west-2 验证通过。需先在 Model Access 申请 Claude 模型。
浙公网安备 33010602011771号