CDKによるIdentity Center運用をClaude Codeで楽にする

Transcript

1. CDKによるIdentity Center運用を Claude Codeで楽にする Hisashi Ikenogami 2026.4.15 JAWS-UG CDK支部 #25

   ~AI時代のCDK、みんなどう書いてる？~ 1

2. 自己紹介 2 池ノ上 寿志 / Hisashi Ikenogami 株式会社エヌデーデー CCoE・SRE

3. アジェンダ 01 前回の振り返り AWS CDK Conference Japan 2025での発表の要点 02 新たな課題と動機

   CDK導入後に生まれた課題、Claude Code導入の背景 03 取り組みの紹介 Action / MCP Server / Bedrock / Skills / ドキュメント自動生成 04 まとめ 3

4. 前回の振り返り AWS CDK Conference Japan 2025（2025/7/12）での発表 Before マネジメントコンソールでの手動運用 手作業による権限設定 /

   再現性の欠如 ↓ After CDKでIdentity Centerをコード化 再現性と一貫性が向上 / Git追跡可能に https://speakerdeck.com/ikngm/cdkdetiao-muidentity-centernoyun-yong-gai-shan 4

5. 新たな課題 CDK導入 運用改善を達成 でも…全員にCDK知識を求められない Identity Centerの管理にCDKの理解が必要に チームの現実 • CDKを理解しているメンバーは必要 •

   しかし運用に関わる全員にCDKスキルを求めるのはハードルが高い • CDKの学習コストが運用参加の障壁になる 5

6. Claude Codeを導入した動機 動機① CDKの知識がなくても 運用に参加できるようにしたい 動機② AI Agentを現場で 活用・模索していきたい 「まず使ってみた」

   比較検討はせず、進歩が早く注目度が高いClaude Codeをまず導入し、有効性の検証からスタート 6

7. 今回の取り組み ── 全体像 ① Claude Code Action PRレビュー自動化 ② Bedrock導入

   既存AWS契約で開始 ③ Skills 運用の自然言語化 ④ ドキュメント 自動生成 権限状況の可視化 7

8. Action MCP Bedrock Skills Doc生成 Claude Code ActionでPRレビュー自動化 レビュー体制 技術レビュー1人

   ＋ 承認者1人 Claude Code Actionで技術レビューを補完 GitHubカスタムアプリを利用 → 秘密鍵管理を自身で行いセキュアに → プロンプトは公式サンプル「Automatic PR Code Review」を利用 トリガー設計 PR作成時 → 自動起動 PR更新時 → 手動（雑音防止） 今後の検討課題 GitHub Secretsに秘密鍵を保存する リスクが指摘されている (Zenn)AWS KMSに閉じ込める方式を検討 ※現状は侵害時のリスク軽減策として 最小権限のIAMロールで運用中 8

9. Action MCP Bedrock Skills Doc生成 MCP Server ── 入れたけど使われなかった やったこと

   AWS IAC MCP Serverを導入 → AWSの正式な知識を持たせる目的 → Claude Code Actionと組み合わせ 結果 Claude Code Actionが 全然使ってくれなかった なぜ使われなかったのか • Identity Centerの運用では、基本的にはCDKアプリの構成自体は変わらない • 変わるのは権限定義（誰にどのアカウントのどの権限を与えるか） • 新しいリソースを探索・構築する場面がない → MCP Serverの出番がなかった 9

10. Action MCP Bedrock Skills Doc生成 Bedrock経由でClaude Code導入 追加契約不要 既存のAWS契約内で Bedrock経由で利用開始

    Anthropicとの直接契約 なし 日本リージョン JP Anthropic Claude Haiku 4.5 データ国内保持を確保 最小権限設計 推論のみに絞った IAMロール設計で セキュリティを担保 コスパ重視 Haiku / Sonnet / Opus から Haiku 4.5 を選定 10

11. スキルファイル構成例 Action MCP Bedrock Skills Doc生成 Skillsとは ① 手順書をフォルダにまとめる エージェントへの「オンボーディングガイド」。手順・スク

    リプト・リソースをフォルダに整理し、エージェントが動的 に読み込む ② 段階的開示でトークン節約 プロンプトに全手順を詰め込まず、name/description → 指 示文 → 追加ファイルと必要な分だけ段階的に読み込む ③ オープンスタンダードで可搬性 2025/12にAnthropicが公開。特定ツールに依存しない可搬 性のある形式 .claude/skills/ ├── manage-group/ ├── SKILL.md ├── reference.md └── scripts/ └── xxx.py 10 SKILL.md --- name: manage-group description: Identity Centerのグループを追加・変更・削 除する --- # グループの管理 Identity Centerのグループ定義を追加・変更・削除する。

12. Action MCP Bedrock Skills Doc生成 Skills導入前 ── 運用ステップ 例：新規AWSアカウント追加 ＋

    新規グループ追加して権限を付与する場合 Step 1 アカウント定義 ファイルのenumに 新アカウントを追加 → Step 2 グループ定義 ファイルのenumに 新グループを追加 → Step 3 新グループ定義 ファイルを作成 （アカウント×権限セッ トの組み合わせを定義） → Step 4 グループindexファイル にexportを追加 TypeScriptやCDK、 ファイル構造の理解が必要 12

13. Action MCP Bedrock Skills Doc生成 Skills導入後 ── 自然言語で運用 自然言語で指示するだけ 「新規アカウントXXXを追加して、グループYYYに権限セットZZZでアクセスさせて」

    ↓ Claude Codeが4つのファイル修正を自動実行 Step 1 自動 Step 2 自動 Step 3 自動 Step 4 自動 安全設計: disable-model-invocation: true Git操作等のスキルは、人が明示的にスキル指定した場合のみ動作。事故防止のための設計。 13

14. Skillsが解決したこと 課題 全員にCDK知識を 求められない → 解決 自然言語で 運用オペレーションを実行 Skillsとして運用手順を定義したことで CDKの知識があまり無くても運用に参加できる

    14

15. Action MCP Bedrock Skills Doc生成 ドキュメント自動生成 Before: Excel手動更新 CDK導入後も別途マッピング表を管理 →

    更新忘れで乖離リスク After: npmスクリプトで自動生成 TSファイルをSingle Source of Truth → 3つのMarkdownを自動生成 グループ視点 このグループはどの アカウントにアクセスできる？ アカウント視点 このアカウントに 誰がアクセスできる？ 権限セット視点 この権限付与パターンにはどの 権限セットが含まれる？ スクリプトの作成もClaude Codeで実施 ドキュメント・スクリプト更新もSkillsとして定義し、スナップショット更新時にセットで実行 → 更新漏れを回避 15

16. Action MCP Bedrock Skills Doc生成 設計思想 ── ドキュメントは「コードのビュー」 手動管理 ドキュメント

    = 「成果物」 コードとドキュメントが別々に存在 → 更新忘れで乖離が発生 → どちらが正しいかわからなくなる 自動生成 ドキュメント = 「コードのビュー」 コードからスクリプトで生成 → 常に最新で乖離しない → TSの型定義で定義漏れも検出 コード → ドキュメント の一方通行、Single Source of Truthはコード 16

17. まとめ PRレビュー自動化 Claude Code Actionで レビューを補完 運用の自然言語化 Skillsで 運用ハードルの低下 ドキュメント自動生成

    3つのビューで 権限状況を可視化 Excel運用の完全廃止 手動管理から 自動生成へ移行 「まず使ってみた」から始めて、運用の効率化を感じられた 既存のCDKリポジトリにClaude Codeを後から入れても効果があった 17

18. Thank You 18