概要
ここ1カ月ほどで、AWSのフロンティアエージェント(DevOps Agent、FinOps Agent、Security Agent)に関する検証を実施し、記事を作成しました。本記事では各記事の内容を簡単にまとめます。
AWS DevOps Agent
AWS DevOps Agentは、生成AIを活用して運用業務を支援するサービスです。障害発生時の調査から解決までを自律的にサポートします。
基本機能とマルチアカウント対応
DevOps Agentの基本的な構成要素(エージェントスペース、トポロジ、スキル、エージェントの指示)と3つの利用方法(自律型インシデント対応、オンデマンドDevOpsタスク、プロアクティブインシデント防止)を整理しました。マルチアカウント環境でのセカンダリアカウント接続やスキルのチャット作成、EC2停止のインシデント調査を検証しています。
セキュリティとアクセス制御
DevOps AgentのIAMロール構成とアクセス制御の仕組みについて記載しました。エージェントスペース・IAMロールポリシー・ガードレール(セッションポリシー)による多層防御の構成や、Operator Web Appへのユーザーアクセスの仕組みを確認しています。
CloudWatchアラーム連携と自動調査
CloudWatchアラームを起点にDevOps Agentの調査を自動実行し、調査結果をメール通知する仕組みを構築しました。汎用ウェブフック経由でのLambda連携、EventBridgeによる調査完了検知、DevOps Agent APIを使用したレポート取得の一連の流れを検証しています。
ガバメントクラウドでの設計
AWS Summitのセッション内容を踏まえ、ガバメントクラウドでDevOps Agentを利用する場合のAgent Space設計について考察しました。共同利用方式と単独利用方式それぞれでのエージェントスコープの設計パターンを整理しています。
カスタムエージェントとスケジュール実行
カスタムエージェントを作成し、トリガー機能でスケジュール実行する方法を検証しました。週次調査レポートを自動生成するエージェントをチャットで作成し、cron/rate式によるトリガー設定からアーティファクト生成までの流れを確認しています。
AWS FinOps Agent
AWS FinOps Agentは、コストの可視化・分析・最適化を支援するサービスです。現在プレビュー版として提供されています。
IAMポリシーとアクセス先サービス
FinOps AgentがどのAWSサービスにアクセスしてコスト情報を分析するかを整理しました。Cost Explorer、Compute Optimizer、Cost Optimization Hubの関係性や、CloudTrailを使用したコスト異常の原因調査の仕組みを確認しています。
オンデマンドタスクとイベントベースタスク
オンデマンドタスクによるコストレポートの作成と、AWS Cost Anomaly Detectionと連携したイベントベースタスクの設定を検証しました。コスト異常検出時にSlackへ通知するオートメーションの構成を確認しています。
スケジュールタスクによる定期レポート生成
スケジュールタスクを使用して週次コストサマリーレポートを自動生成するオートメーションを作成しました。GUIでタイムゾーンを含むスケジュールを設定でき、定期的な分析・レポート作成業務などを自動化出来ます。
AWS Security Agent
AWS Security Agentは、開発ライフサイクル全体を通じてアプリケーションのセキュリティを強化するためのサービスです。
ペネトレーションテストとデザインレビュー
Security Agentのペネトレーションテストとデザインセキュリティレビューを検証しました。稼働中のWebアプリケーションに対する多段階の攻撃シナリオによる脆弱性検出や、設計書のセキュリティリスク特定を試しています。
まとめ
3つのフロンティアエージェントはそれぞれ異なる領域(運用・コスト・セキュリティ)を担当しますが、共通して自然言語による指示で自律的にタスクを実行し、定期的な自動実行にも対応しています。運用負荷の軽減に直結するサービスとして導入を検討していければと思います。