← lunelukkio site トップへ / GitHub Actions

GHA-001

GitHub Actions × Claude Code クラウド連携

@claude メンション・認証3系統・Amazon Bedrock / Google Vertex AI の鍵レス OIDC 認証・Routines との比較

作成: 2026-05-29 / 出典確認日: 2026-05-29

出典: code.claude.com/docs/en/github-actionsgithub.com/anthropics/claude-code-action(README / docs/setup.md)、 code.claude.com/docs/en/routines(確認日 2026-05-29)

1. @claude メンション — GitHub Actions 上での Claude 起動

GitHub Issue または PR のコメントで @claude とメンションすると、 GitHub Actions ワークフローが起動し、コメントの指示に応じて Claude が自動実行される。 できることの例:

公式 Action は anthropics/claude-code-action@v1旧 @beta からの破壊的変更点: direct_promptprompt にリネーム、 mode パラメータ廃止、max_turns / model 等は claude_args に統合された。

基本ワークフロー例(ANTHROPIC_API_KEY 方式)

name: Claude PR Assistant

on:
  issue_comment:
    types: [created]
  pull_request_review_comment:
    types: [created]

jobs:
  claude:
    if: contains(github.event.comment.body, '@claude')
    runs-on: ubuntu-latest
    permissions:
      contents: write
      issues: write
      pull-requests: write

    steps:
      - uses: actions/checkout@v4
        with:
          fetch-depth: 1

      - uses: anthropics/claude-code-action@v1
        with:
          anthropic_api_key: ${{ secrets.ANTHROPIC_API_KEY }}
          # デフォルトモデルは Sonnet。Opus 4.8 を使う場合:
          claude_args: --model claude-opus-4-8 --max-turns 10
図 1. issue_comment / pull_request_review_comment トリガーの基本ワークフロー例
GitHub @claude コメント GitHub Actions runner 起動 claude-code-action v1 実行 Anthropic API / Bedrock / Vertex コード変更・PR コメント返信
図 2. @claude メンションから実行結果返却までの流れ

2. 認証3系統

Claude Code Action の認証方式は3系統ある。用途・コスト・セキュリティ要件で選択する。

方式 設定 課金 主な用途
ANTHROPIC_API_KEY anthropic_api_key: ${{ secrets.ANTHROPIC_API_KEY }} 従量課金 最も簡単なセットアップ。/install-github-app のクイックセットアップが対応
CLAUDE_CODE_OAUTH_TOKEN claude_code_oauth_token: ${{ secrets.CLAUDE_CODE_OAUTH_TOKEN }} サブスク枠内(従量なし) Pro/Max サブスクユーザ。ローカルで claude setup-token を実行してトークン生成 → GitHub Secrets に登録。有効期限あり
クラウドプロバイダ
(Bedrock / Vertex)		 use_bedrock: "true" または use_vertex: "true" クラウド課金(自社管理) データ所在地・コスト管理を自社で行いたい場合。OIDC 鍵レス認証と組み合わせる
図 3. 認証3系統の比較表
claude-code-action 認証を選択して起動 ANTHROPIC_API_KEY Secrets に API キー登録 OAUTH_TOKEN claude setup-token で生成 Amazon Bedrock use_bedrock: true Google Vertex AI use_vertex: true
図 4. 認証3系統の分岐図

3. クラウドプロバイダ連携 — 鍵レス OIDC 認証(核心)

静的な API キーを GitHub Secrets に保存せず、 GitHub OIDC トークン(一時的・短命)でクラウドロール/サービスアカウントに成りすます方式。 キー漏洩リスクをゼロにできる。

Amazon Bedrock — IAM OIDC + AssumeRole

🟢 公式ドキュメント確認済み

  1. IAM で GitHub OIDC Provider を追加
    • URL: https://token.actions.githubusercontent.com
    • Audience: sts.amazonaws.com
  2. IAM ロールを作成(AmazonBedrockFullAccess をアタッチ)し、GitHub リポジトリからの AssumeRole を信頼ポリシーに追加
  3. ロール ARN を GitHub Secret AWS_ROLE_TO_ASSUME に保存
  4. ワークフローに id-token: write 権限と aws-actions/configure-aws-credentials@v4 を追加
Bedrock のモデル ID にはリージョン接頭辞が付く。例: us.anthropic.claude-sonnet-4-6(us-east-1 / us-west-2 の Cross-region inference) 
name: Claude on Bedrock

on:
  issue_comment:
    types: [created]

jobs:
  claude:
    if: contains(github.event.comment.body, '@claude')
    runs-on: ubuntu-latest
    permissions:
      id-token: write          # OIDC に必須
      contents: write
      issues: write
      pull-requests: write

    steps:
      - uses: actions/checkout@v4

      - name: Configure AWS credentials (OIDC)
        uses: aws-actions/configure-aws-credentials@v4
        with:
          role-to-assume: ${{ secrets.AWS_ROLE_TO_ASSUME }}
          aws-region: us-east-1

      - uses: anthropics/claude-code-action@v1
        with:
          use_bedrock: "true"
          claude_args: --model us.anthropic.claude-sonnet-4-6

Google Vertex AI — Workload Identity Federation

🟢 公式ドキュメント確認済み

  1. GCP で Workload Identity Pool と Provider(GitHub OIDC)を作成
  2. サービスアカウントに roles/aiplatform.user(Vertex AI User)を付与し、Workload Identity バインディングを追加
  3. GitHub Secrets に GCP_WORKLOAD_IDENTITY_PROVIDER(Provider のリソース名)と GCP_SERVICE_ACCOUNT を登録
name: Claude on Vertex

on:
  issue_comment:
    types: [created]

jobs:
  claude:
    if: contains(github.event.comment.body, '@claude')
    runs-on: ubuntu-latest
    permissions:
      id-token: write
      contents: write
      issues: write
      pull-requests: write

    steps:
      - uses: actions/checkout@v4

      - name: Authenticate to GCP (OIDC)
        uses: google-github-actions/auth@v2
        with:
          workload_identity_provider: ${{ secrets.GCP_WORKLOAD_IDENTITY_PROVIDER }}
          service_account: ${{ secrets.GCP_SERVICE_ACCOUNT }}

      - uses: anthropics/claude-code-action@v1
        with:
          use_vertex: "true"
          claude_args: --model claude-sonnet-4-6
図 5. Bedrock / Vertex OIDC ワークフロー例
OIDC 鍵レス認証フロー(Bedrock / Vertex 共通構造) GitHub Actions OIDC トークン発行 STS / Workload Identity Federation IAM Role / Service Account Bedrock / Vertex Claude モデル呼出 静的 API キーを GitHub に保存しない 一時トークンのみ使用 → キー漏洩リスクをゼロ化 ワークフローに permissions: id-token: write が必須
図 6. OIDC 鍵レス認証フロー図(Bedrock / Vertex 共通)
3P プロバイダ利用時の推奨: カスタム GitHub App(App ID と秘密鍵を APP_ID / APP_PRIVATE_KEY Secret に登録し、 actions/create-github-app-token で一時トークンを生成)の利用が公式に推奨される。 GITHUB_TOKEN では権限が不足することがある。

4. GitHub Actions 版 vs. Routines(比較)

Claude Code には GitHub Actions 版のほかに Routines(クラウド実行)がある。 どちらを選ぶかはインフラ管理の範囲と実行環境の要件で決まる。

項目 GitHub Actions 版 Routines(マネージドクラウド)
実行環境 自分の GitHub runner(ubuntu-latest 等) Anthropic 管理クラウド(Claude Code on the web)
トリガー issue_comment / PR review comment(@claude メンション) スケジュール(cron)/ API / GitHub イベント(PR opened, Release 等)
ネットワーク runner のネットワーク(制限なし) デフォルト "Trusted"(一部制限あり)
ブランチ作成 任意のブランチ名で作成可 デフォルトは claude/ 接頭辞のみ(明示許可で任意に変更可)
実行上限 GitHub Actions の分数制限に依存 1日の実行上限あり
インフラ管理 自分でワークフロー YAML を維持する Anthropic が管理(設定のみ)
認証 API キー / OAuth トークン / Bedrock / Vertex Claude Code サブスクアカウントに紐づく
図 7. GitHub Actions 版 vs Routines 比較表
GitHub Actions 版 自分の runner @claude メンションで起動 ワークフロー YAML 管理 インフラ: 自己管理 vs Routines Anthropic 管理クラウド スケジュール / GitHub イベント 1日実行上限・ブランチ制約あり インフラ: Anthropic 管理
図 8. 実行環境の違い — GitHub Actions(自己管理 runner)vs Routines(マネージドクラウド)

5. コストと注意点

コスト構造

コスト最適化

セキュリティ

関連項目