DevOps Agentで始めるAWS運用 〜フロンティアエージェントが変える運用の現場〜

Transcript

1. DevOps Agentで始めるAWS運用 〜フロンティアエージェントが変える運用の現場〜 2026/06/04 運用イノベーション部 高山 晃太朗

2. 2 自己紹介 高山 晃太朗（Kotaro Takayam a） クラスメソッド株式会社 クラウド事業本部 運用イノベーション部 ソリューションアーキテクト

   最近はD evOp s A g entをよく触っています

3. 3 想定対象者 • AWSシステムの保守・運用の業務を担当されている⽅ • AWS DevOps Agent に関⼼がある、またはこれからご利用予定の⽅

4. 4 アジェンダ • DevOps Agent GA • DevOps Agentの始め方 •

   ステップ1 〜チャットから調査 • ステップ2 〜アラート発火から自動トリガー〜 • ステップ3 〜本番運用・組織展開〜 • まとめ

5. DevOps Agent GA

6. 6 AWS DevOps Agent とは 2026.04 インシデントの検出から予防(提案)まで自律的に行うフロンティアエージェント 操作 イベント駆動 または

   自然言語による対話型調査 主な3 つの機能 Investigation / Prevention / On-Demand SRE Tasks 対象ユーザー 運用チーム / オンコール担当 ビルトイン統合 オブザーバビリティ CloudWatch D atadog New Relic Splunk D ynatrace Grafana CI / CD ・ マルチクラウド GitHub GitLab Azure DevOps Azure リソース コラボレーション / 自動化 Slack ServiceNow PagerDuty EventBridge 拡張 カスタム MCP サーバー Webhook DevOps Agent は実行は行わない あくまで「運用のチームメイト」的な立ち位置 ※介入を必要とせずに動作する自律型 AI エージェント G A追加機能 ：

7. 7 AWS DevOps Agent とは 2026.04 GA に合わせ、本番運用に活用できる機能がリリース 0 1

   / REG IO N 提供リージョン拡大 us-east-1 のみ → 6 リージョン 。 東京（ap-northeast-1）も対応。 Toky o Oregon S ydney Frankfurt Ireland 02 / PRICING 料金体系の公開 秒単位の従量課金、初回 2 ヶ月の Free Tier Tier、Support プランに応じたクレジット。 。 $0.0083/秒 Free Tier 2ヶ月 S upp ort クレジット 03 / CAPABILITY 新 Capability 追加 Azure / Grafana / PagerDuty ネイティブ / EventBridge / 連携が追加。 Azure Grafana Pag erD uty EventBridge 0 4 / ENT ER PR IS E エンタープライズ対応 CloudFormation / 外部 IdP / PrivateLink / CMK / CLI v2.34.20 で devops-agent API / Skills強化 C Fn Okta / Entra ID PrivateLin k CMK C LI

8. 8 AWS DevOps Agent とは 秒単位の従量課金、東京含む 6 リージョンで提供 PRICING —

   $0.0083 / エージェント秒 稼働時間にのみ課金、アイドルは無料。 タスク種別 説明 料金 Investigation アラートをトリガーにした調査 $0.0083 / 秒 Evaluation Prevention 分析タスク $0.0083 / 秒 On-demand SRE オペレーターアプリのチャット $0.0083 / 秒 Free Tier : 初回タスク実行後 2 ヶ月。Investigation 20h / Evaluation 15h / On-demand 20h Support クレジット : Business 30% / Enterprise 75% / Unified Operations 100% を毎月充当。 REGIONS — 6 リージョン対応 東京含む主要 6 リージョン。 Asia Pacific (Tokyo) ap-northeast-1 Asia Pacific (Sydney) ap-southeast-2 US East (N. Virginia) us-east-1 US West (Oregon) us-east-2 Europe (Frankfurt) eu-central-1 Europe (Ireland) eu-west-1 Agent Space を作成したリージョンに関わらず、 アカウント内の 全リージョンのリソースを横断監視 可能。 ※ Free Tier / Support クレジットについてリセールのお客様は適用条件が異なります。 詳細はご利用のリセラー窓口に確認をお願いします。

9. 深夜 2 時のアラート D evOps Ag ent がない世界とある世界 9 観点

   × ない世界 ◦ ある世界 初動速度 情報収集 根本原因特定 属人性 予防 / 学習 エンジニアの負荷 ナレッジ蓄積

10. 深夜 2 時のアラート DevOps Agent がない世界とある世界 10 観点 × ない世界

    ◦ ある世界 初動速度 人が起床して PC を開いてから開始。 情報収集 複数ツールを手動で巡回。 根本原因特定 個人の経験とスキルに依存。 属人性 高い（ベテラン依存）。 予防 / 学習 余裕がないと後回し。 エンジニアの負荷 夜間対応で心身ともに消耗。 ナレッジ蓄積 個人の記憶や散在するドキュメント。

11. 深夜 2 時のアラート DevOps Agent がない世界とある世界 11 観点 ×ない世界 ◦

    ある世界 初動速度 人が起床して PC を開いてから開始。 アラート発火と同時に自動で調査開始。 情報収集 複数ツールを手動で巡回。 ログ・メトリクス・コードを横断的に自動収集。 根本原因特定 個人の経験とスキルに依存。 体系的な相関分析 で一貫した品質。 属人性 高い（ベテラン依存）。 低い。 スキルを整えることでチーム全体が同品質の調査結果を得られる 予防 / 学習 余裕がないと後回し。 継続的に学習し、予防策を自動提案。 エンジニアの負荷 夜間対応で心身ともに消耗。 調査済みの状態 からスタート。 ナレッジ蓄積 個人の記憶や散在するドキュメント。 調査結果が 構造化されて蓄積。

12. DevOps Agentの始め⽅

13. Agent Spaceについて 13 Agent Space は DevOps Agent が動作する 論理コンテナ

    各 Agent Space は独立して動作し、 アクセス可能な AWS アカウント・統合ツール・セキュリティ境界等を定義する。 エージェント設定 動作・調査パラメータ 応答言語・調査の振る舞いを設定 機能プロバイダー Capability 接続 オブザーバビリティ / ITSM / クラウド etc… アクセス制御 チーム権限と境界 IAM Identity Center / 外部 IdP に対応 監査ログ 全アクション追跡 CloudTrail と連携してガバナンス担保 操作方法 管理者は AWS Management Console / CloudFormation / CLI でAgent Space設定を構成 成 運用チームは エージェントウェブアプリ で調査・対応・チャットを行う。

14. Agent Spaceについて 14 1クリックですぐに作成可能

15. Agent Spaceとエージェントウェブアプリ 15 管理者 : Agent Space 運用チーム : エージェントウェブアプ

16. 言語設定 16 応答言語を作成時に選択可能 （日本語対応済み） エージェントウェブアプリも日本語対応済み ブラウザの言語設定に依存している点は注意（画像はChrome）

17. エージェントウェブアプリ 画面ツアー 17

18. エージェントウェブアプリ 画面ツアー 18 個人的に一番見る機能 インシデント調査の実施や 自動インシデント調査をした時に確認する インシデントレスポンス 改善事項 DevOps Agentが調査の中で見つけた

    改善事項を提示する

19. エージェントウェブアプリ 画面ツアー 19 アーティファクト チャットUIを使った運用レポートなどの DevOps Agentの生成コンテンツを確認できる トポロジー アプリケーション内のリソース関係を可視化したもの DevOps

    Agentが調査の理解にも利用する

20. エージェントウェブアプリ 画面ツアー 20 エージェント 後述している「Agent Instructions」を定義する場所 スキル 後述している「DevOps Agent Skills」の定義と

    「Learned Skills」を確認する場所 設定 使用量やテーマを設定を行う

21. ステップ1 〜チャットから調査〜

22. チャットから問い合わせでDevOps Agentとやりとりする 22 チャットから問い合わせでDevOps Agentとやりとりする • まずわからないことがあればチャット聞くこと でDevOps Agentがアシストしてくれる •

    選択式でやり取りを提示してくれる • 推奨項目があれば推奨フラグも立ててくれる

23. チャットは閲覧ページに合わせてレスポンスを変える 23 インシデントレスポンスのチャット アーティファクトのチャット ページを切り替えてもチャットインターフェースは引き継がれるが、表示される内容は 現在の画面に合わせた関連情報に切り替わる点に注意

24. チャットサンプルクエリ 24 https://docs.aws.amazon.com/devopsagent/latest/userguide/working-with-devops-agent-on-demand-devops-tasks.html

25. 例）インシデントチャットからDevOps Ag ent Investig ationsをトリ 25 チャットから CloudWatchアラームの 問題を調査している例

26. 例）インシデントチャットからDevOps Agent Investigationsをトリ 26 調査タイムライン → 根本原因 → 緩和計画 (追加調査実施)

    ロールバック方法まで掲載してくれる

27. DevOps Agentの調査権限について 27 DevOps Agentにユーザーが付与する権限と DevOps Agentが管理する権限で両方で許可されるものにアクセス可能 ベストプラクティスとしてガードレールでブロックされているとはいえ 変更権限は与えない IAMロールポリシー

    （ユーザー管理） 権限ガードレール （DevOps Agent管理 ） 両方で許可された権限 ミュータブルな操作をブロック ・Create / Modify / Delete ・SSM Run command ・etc... ユーザー管理権限 デフォルトは 「AIDevOpsAgentAccessPolicy」が付与 S3やAthenaの参照権限を別途追加可能

28. ステップ2 〜アラート発火から自動トリガー〜

29. 組み込み統合機能 / Webhookを使ってイベントトリガー可能 29 引用 : https://speakerdeck.com/snakagawax227/aws-devops-agent-haonkoruenzinianidai-warunoka?slide=8

30. CloudWatch Alarmからトリガーするケース 30 webhookトリガー WebhookのURLとシークレットキーを使いトリガーする 今回は Webhookを使ったCloudWatch Alarmトリガーの例 コードサンプルページ

31. 自動トリガーを気付くためにSlack統合がおすすめ 31 １. 機能プロバイダーからの追加 ２. エージェントスペースでの追加 リージョンごとに紐付けられるWorkspaceは１つのみ エージェントスペースごとに通知先のチャンネル指定可能

32. Slack通知の確認 32 調査完了通知 Mitigration plan 調査ごとに通知形式はスレッドに折り畳まれる形で通知される

33. インシデントトリアージとスキルを使った調査の抑制 33 DevOps Agentは調査を実行する前にトリアージを実施する Linked インシデントを既存の調査に紐付け、 メインの調査に追加の指示送る Proceed インシデントに対して、新しく独立した調査の実施 Skipped

    スキルで定義されたスキップ基準に一致した場合、 調査を行わずに自動的にインシデントを破棄 トリアージにより重要なインシデントに集中し 不要な調査を抑制、運用スピードの向上とコスト削減を実現 （ユーザーコントロール）

34. インシデントトリアージとスキルを使った調査の抑制 34 特定アラームをスキップするスキル例 引用 : https://github.com/aws-samples/sample-code-for-devops-agent-skills 記載方法に困ったチャットからスキル作成の依頼も可能 スキル作成のポイント 「説明」の記載がDevOps Agentのトリガー条件と

    なるため、エージェントの視点でスキルをトリガー する具体的なシナリオ、サービス、エラーの種類、 または症状を含めることが重要です DevOps Agentのサンプルスキルも公開されています

35. Skills + Agent Instructions 35 観点 DevOps Ag ent Skills

    Learned Skills Ag ent Instructions 定義者 人が記述 エージェントが自動生成 人が記述 ロード方式 オンデマンド（ユーザー定義） オンデマンド（エージェント判断） 常時（全セッション） コンテンツ形式 Markd own / Z IP(PD F,画像,データファイル) Markd own のみ Markd own のみ 個数 複数作成可能 ２個〜（エージェント管理） グローバル 1 つ + 各エージェント１つ 主な用途 専門的な調査手順 環境構成・ノウハウの蓄積 常時適用の運用ポリシー DevOps Agentをカスタマイズする方法として現在3つのアプローチがある

36. 蓄積されたアラートのナレッジ活用 36 自動トリガーの調査がDevOps Ag entに蓄積され 蓄積された調査からエージェント自身が学習し精度が向上する 過去の調査から改善事項の提示 調査をまとめたアーティファクト Learned Skillsも調査で成長していく

    調査全体像の可視化 期間・件数・優先度などを サマリーで一目で把握 グラフUIでのビジュアル化 調査件数の推移をグラフで確認し、 傾向分析やリソース計画に活用 運用に合わせたレポート生成 調査サマリの他、 障害レポート生成やリソース棚卸し の一覧も生成可能

37. ステップ3 〜本番運用・組織展開〜

38. Agent Space の オンコールの責任範囲 に合わせた設計 38 PATTERNS — 3 つの構成パターン

    オンコールチーム構造とスケールで使い分ける。 01 複数チーム横断調査 チームごとの専用 Agent Space 作成し 共有リソースアカウントへの読み取り権限 を含める。 共有サービスのリソースにタグ（ app-id 等）を付与することで共有リソースの調査コンテキストを提供可 02 共有サービス / ネットワークオペレーション チーム DB・ネットワーク・モニタリング等の特定のリソース読み取る 共有インフラ専用の Agent Space を作成 チームがサポートする範囲を IAM ロールでスコープ。 03 中央運用チーム + IaC 100〜1,000+ アプリを管理する組織の場合、CDK / Terraform テンプレート でAgent Spaceをテンプレ化。 中央運用チームがテンプレートとガバナンスポリシーを管理し、アプリケーションチームはガードレール内で運用 IMPLEMENTATION — 実装 5 ステップ 狭く始めて、結果を見て広げる。 STEP 1 前提条件の確認 IAM ロール 2 種・SCP の aidevops:* 許可・CloudWatch / Clo udTrail・OA uth 設定 STEP 2 Agent Space の作成 本番 / 非本番を分離。複数アカウントへ IAM ロールをデプロイ（IaC 推奨） STEP 3 統合の設定 CloudWatch → 3P オブザーバビリティ → コード → CI/CD → Slack / ServiceNow Webhook / MCP も STEP 4 アクセス制御 調査閲覧・Support ケース作成・Agent Space 設定変更を IAM ポリシーで分離 STEP 5 テストと反復 テスト調査を流し、コンテキスト不足ならアカウント追加・遅ければスコープ縮小 ポイント オンコール境界で考える ／ 狭すぎると見逃し、広すぎると重くなる、結果に基づいて反復が重要 出典 : https://aws.amazon.com/jp/blogs/news/best-practices-for-deploying-aws-devops-agent-in-production/

39. IDプロバイダーを通したアクセス分離 39 引用 : https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black-Belt_2026_AWS-DevOpsAgent-adoption-team_0331_v1.pdf#page=30 IICなどのIDプロバイダーと連携することで運用チームは直接Web Appにアクセス可能 Okta、Microsft Entra IDをサポート

40. 組織に合わせたカスタムMCPサーバーの機能拡張 40

41. まとめ

42. まとめ 42 • AW S D evOps Ag ent は検出から予防まで自律的に行うフロンティアエージェント

    • Ag ent Space は1クリックで作成でき、東京リージョン・秒単位課金で導入しやすい • アラート発火と同時に自動で調査を開始し、障害調査の初動を肩代わりする • ただし D evOps Ag ent は「実行はしない」運用のチームメイト • 最終的には人は判断と対応を