Claude Code 接入 AWS Bedrock 避坑指南：解决 CLI 卡死与权限配置难题

最近，Anthropic 官方的 CLI 工具 Claude Code 正式加入了对 AWS Bedrock 的支持。这对于需要企业级数据隐私保护的开发者来说是个重磅利好。很多团队开始着手将本地的 AI 工作流迁移到 AWS 上。

然而，作为一项刚刚推出的实验性功能，目前的集成体验充满了各种暗坑。本文将结合 GitHub 社区的最新反馈，详细拆解在接入过程中常见的 Bug，并提供相应的 Workaround（绕过方案），最后探讨一下架构层面的替代选择。

核心 Bug 剖析与解决方案

现象描述： 当你按照官方文档，在终端中导出了 CLAUDE_CODE_USE_BEDROCK=1 环境变量后，满心欢喜地运行 claude doctor 来验证安装状态。结果终端输出到 Checking installation status... 后就彻底没反应了。

问题根源： 根据 GitHub Issue #31478 的追踪，这是 Claude Code 2.1.70 版本中的一个已知缺陷。底层在探测 AWS Bedrock 运行环境时，由于某些网络超时或凭证校验逻辑没有正确处理 Promise 的 reject，导致事件循环被阻塞。

解决办法： 目前没有代码层面的完美修复。遇到卡死只能通过 Ctrl+C 强行终止。建议在配置好 AWS 凭证后，直接跳过 claude doctor 检查，直接运行具体的业务命令（如 claude "your prompt"）来测试连通性。

现象描述： 很多企业开发者习惯使用 AWS_PROFILE 环境变量配合 AWS SSO 进行身份验证。但在 Claude Code 中，这种方式会直接报 Permission denied。

问题根源： Claude Code 目前的 AWS 凭证解析器非常基础，它无法像 AWS CLI 或 Aider 那样自动处理复杂的角色扮演（Role Assumption）链和 SSO 令牌刷新。

解决办法： 你必须显式地导出临时静态凭证。可以使用以下命令将 SSO 凭证转换为环境变量：

# 使用 aws cli 导出凭证
eval $(aws configure export-credentials --profile your-sso-profile --format env)

这会将 AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY 和 AWS_SESSION_TOKEN 注入到当前终端会话中。虽然麻烦，但这是目前唯一可行的方案。

尽管坑很多，但向 AWS 靠拢是大势所趋。在开源界，著名的 AI 编程助手 Cline 最近合并了 PR #2742，做出了一个重大架构调整：移除 Anthropic 官方的 Bedrock SDK，全面替换为原生的 AWS Bedrock Runtime SDK。

从源码层面看，这次重构带来了几个核心优势：

统一的 Converse API：原生 SDK 允许开发者使用一套标准的数据结构，无缝调用 Claude、Llama 3、Mistral 等不同模型。
Bedrock Guardrails：这是企业应用最看重的功能。可以在 SDK 层面直接挂载安全护栏，对输入和输出进行 PII（个人身份信息）脱敏和有害内容过滤。

如果你看完上面的踩坑记录感到头皮发麻，那说明你可能并不属于 AWS Bedrock 的目标用户群。

AWS 的 IAM 策略、VPC 隔离、Access Gateway 这一套体系，是为具有严格合规审计要求的大型企业准备的。对于追求开发效率的中小团队或个人开发者来说，花几天时间去调通这些权限，ROI（投资回报率）极低。

如果你的核心需求只是稳定调用 Claude 模型、且能方便地切换其他大模型，我强烈建议使用 API 聚合网关，比如国内开发者圈子里口碑不错的 147AI。

从架构上看，147AI 帮你把底层那些脏活累活全干了：

零配置接入：不需要配 AWS 凭证，直接提供一个兼容 OpenAI 标准的 Endpoint 和 Key。
代码改动极小：你可以直接用现有的 OpenAI SDK（Python/Node.js 都可以），把 base_url 一换，就能直接调 Claude 3.5 甚至最新的模型。
多模型聚合：业务代码里改个 model 参数，就能在 GPT-4o 和 Claude 之间无缝切换，非常适合做 A/B 测试。

技术选型没有绝对的好坏。大厂为了合规和极致的安全控制，选择死磕 AWS Bedrock 是必然；而对于我们广大开发者，善用 147AI 这样的聚合工具，把精力聚焦在业务逻辑的实现上，才是更聪明的做法。

参考链接：