Kiro Hookを Terraformで検証

Transcript

1. Kiro Hookを Terraformで検証 OisixのSREチームとの交流会 お野菜を添えて 井上 碧

2. 自己紹介 氏名: 井上 碧（いのうえ あおい） 経歴: - 2018-2021: SIer -

   2021-2024: SRE - 2024-現在: SIer 趣味: - 将棋 - ランニング

3. 目次 • Kiro概要 • 検証 • まとめ

4. Kiro概要

5. Kiro • AWSが開発したAI エージェントが備わったIDE • 仕様駆動開発(spec-driven software development)が特徴 • Claude

   Sonnet 4.0搭載* • アイコンが可愛い https://kiro.dev/blog/introducing-kiro/ *2025/7/24時点

6. Kiroの機能には、SpecとHookがある • Spec: 要件→設計→タスク分解の仕様駆動開発 • Hook: ファイル保存等のイベントでAIが自動実行 ← 今日はこっち

7. Hook ファイル保存などのイベントをトリガーにタスクを自動実行 自然言語で記載 してAIが文脈を理解して判断、実態はJSON 例えば、.tfファイル保存 → AIエージェントが自動で次の手順を実行する • セキュリティ問題をチェック •

   ドキュメントを自動更新 従来ツールとの違い • git hooks: 決まったコマンドを実行 • Claude Code hooks: JSON形式で記載し決まったコマンドを実行

8. 検証

9. ディレクトリ構成 kiro-sample/ ├── main.tf ├── variables.tf ├── outputs.tf └── terraform.tfvars.example

10. 検証内容 1: セキュリティチェック 2: ドキュメント更新

11. 検証①: セキュリティチェック Hookの設定内容は次のとおり tfファイル保存時に以下をチェックしてください • 0.0.0.0/0のセキュリティグループ開放 • ハードコードされた秘密情報 • S3バケットのpublic設定

    • 過度なIAM権限 問題があれば具体的な修正案を提示してください

12. 実行例

13. .kiroファイルが作られる kiro-sample/ ├── main.tf ├── variables.tf ├── outputs.tf ├── terraform.tfvars.example

    └──.kiro 　　　└── hooks 　　　　　└── terraform-security-check.kiro.hook # これ

14. terraform-security-check.kiro.hookの中身 { "name": "Terraform Security Check", "description": ".tfファイル保存時にセキュリティ問題をチェックし、修正案を提示", "trigger": {

    "type": "file_save", "filePattern": "**/*.tf" }, "action": { "type": "agent_execution", "request": "保存された.tfファイルのセキュリティをチェックしてください。以下の項目を確認し、..<省略 >", # コマンドなどは書かれていない "includeFiles": [ "{{triggerFile}}" ] } }

15. テストコード - セキュリティチェック main.tfにある、ingressの設定を次のように書き換える resource "aws_security_group" "demo" { name_prefix =

    "${var.project_name}-${var.environment}-" description = "Demo security group for Kiro testing" ingress { from_port = 22 to_port = 22 protocol = "tcp" cidr_blocks = ["0.0.0.0/0"] # これを検出できるか？ } ..<省略>.. }

16. 結果: 成功 - セキュリティチェック 危険な設定を 追加すると自動で Chatが立ち上がる

17. 検証②: ドキュメント更新 Hookの設定内容は次のとおり • main.tfが変更されたら、以下を自動更新 • README.mdのリソース一覧 • 新しいリソースの用途説明 •

    アーキテクチャの変更点 • 運用時の注意事項

18. テストコード - ドキュメント更新 main.tfに以下のコードを追加 # これを検出できるか？ resource "aws_db_instance" "main" {

    identifier = "my-database" engine = "mysql" engine_version = "8.0" instance_class = "db.t3.micro" }

19. 結果: 成功 - ドキュメント更新 README.mdを 更新してくれる

20. 結果のおさらい 検証1: セキュリティチェック • 結果: 成功 → 0.0.0.0/0の危険な設定を検出・警告 検証2: ドキュメント更新

    • 結果: 成功 → RDS追加時にREADME.mdを自動更新

21. まとめ

22. 結論 良かったところ • 自然言語で書けるので簡単 • CIの手前で変更ミスなどが気付ける • README.md更新忘れを防げる 微妙だったところ •

    PreviewなのでHook動作したりしなかったり不安定