AWS DevOps エージェント CLI オンボーディングガイド

概要:

AWS DevOps エージェントを使用すると、 AWS インフラストラクチャをモニタリングおよび管理できます。このガイドでは、コマンドラインインターフェイス (AWS CLI) AWS を使用して AWS DevOps エージェントを設定する方法について説明します。IAM ロールを作成し、エージェントスペースをセットアップして、 AWS アカウントを関連付けます。また、オペレーターアプリを有効にし、オプションでサードパーティーの統合を接続します。このガイドの所要時間は約 20 分です。

AWS DevOps エージェントは、米国東部 (バージニア北部）、米国西部 (オレゴン）、アジアパシフィック (シドニー）、アジアパシフィック (東京）、欧州 (フランクフルト）、欧州 (アイルランド) の 6 つの AWS リージョンで利用できます。サポートされているリージョンの詳細については、「」を参照してくださいサポートされるリージョン。

前提条件

作業を開始する前に、以下の準備が整っていることを確認します。

AWS CLI バージョン 2 のインストールと設定
AWS モニタリングアカウントへの認証
AWS Identity and Access Management (IAM) ロールを作成し、ポリシーをアタッチするアクセス許可
モニタリング AWS アカウントとして使用するアカウント
CLI および JSON AWS 構文に精通していること

このガイド全体で、次のプレースホルダー値を独自のプレースホルダー値に置き換えます。

<MONITORING_ACCOUNT_ID> — モニタリング (プライマリ) AWS アカウントの 12 桁のアカウント ID
<EXTERNAL_ACCOUNT_ID> — モニタリングするセカンダリ AWS アカウントの 12 桁のアカウント ID (ステップ 4 で使用)
<REGION> — エージェントスペースの AWS リージョンコード (例: us-east-1または eu-central-1)
<AGENT_SPACE_ID> — create-agent-space コマンドによって返されるエージェントスペース識別子

IAM ロールの設定

1. DevOps エージェントスペースロールを作成する

次のコマンドを実行して、IAM 信頼ポリシーを作成します。


cat > devops-agentspace-trust-policy.json << 'EOF'
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "aidevops.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "<MONITORING_ACCOUNT_ID>"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:aidevops:<REGION>:<MONITORING_ACCOUNT_ID>:agentspace/*"
        }
      }
    }
  ]
}
EOF

IAM ロールを作成します。


aws iam create-role \
  --region <REGION> \
  --role-name DevOpsAgentRole-AgentSpace \
  --assume-role-policy-document file://devops-agentspace-trust-policy.json

次のコマンドを実行して、ロール ARN を保存します。


aws iam get-role --role-name DevOpsAgentRole-AgentSpace --query 'Role.Arn' --output text

AWS 管理ポリシーをアタッチします。


aws iam attach-role-policy \
  --role-name DevOpsAgentRole-AgentSpace \
  --policy-arn arn:aws:iam::aws:policy/AIDevOpsAgentAccessPolicy

Resource Explorer サービスにリンクされたロールの作成を許可するインラインポリシーを作成してアタッチします。


cat > devops-agentspace-additional-policy.json << 'EOF'
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowCreateServiceLinkedRoles",
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": [
        "arn:aws:iam::<MONITORING_ACCOUNT_ID>:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer"
      ]
    }
  ]
}
EOF

aws iam put-role-policy \
  --role-name DevOpsAgentRole-AgentSpace \
  --policy-name AllowCreateServiceLinkedRoles \
  --policy-document file://devops-agentspace-additional-policy.json

2. オペレーターアプリの IAM ロールを作成する

次のコマンドを実行して、IAM 信頼ポリシーを作成します。


cat > devops-operator-trust-policy.json << 'EOF'
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "aidevops.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "<MONITORING_ACCOUNT_ID>"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:aidevops:<REGION>:<MONITORING_ACCOUNT_ID>:agentspace/*"
        }
      }
    }
  ]
}
EOF

IAM ロールを作成します。


aws iam create-role \
  --role-name DevOpsAgentRole-WebappAdmin \
  --assume-role-policy-document file://devops-operator-trust-policy.json \
  --region <REGION>

次のコマンドを実行して、ロール ARN を保存します。


aws iam get-role --role-name DevOpsAgentRole-WebappAdmin --query 'Role.Arn' --output text

AWS マネージドオペレーターアプリポリシーをアタッチします。


aws iam attach-role-policy \
  --role-name DevOpsAgentRole-WebappAdmin \
  --policy-arn arn:aws:iam::aws:policy/AIDevOpsOperatorAppAccessPolicy

この管理ポリシーは、エージェントスペース機能にアクセスするためのアクセス許可をオペレーターアプリに付与します。これらの機能には、調査、レコメンデーション、ナレッジ管理、チャット、 AWS サポート統合が含まれます。ポリシーは、 aws:PrincipalTag/AgentSpaceId条件を使用して特定のエージェントスペースへのアクセスをスコープします。アクションの完全なリストの詳細については、「」を参照してくださいDevOps エージェント IAM アクセス許可。

オンボーディング手順

1. エージェントスペースを作成する

次のコマンドを実行して、エージェントスペースを作成します。


aws devops-agent create-agent-space \
  --name "MyAgentSpace" \
  --description "AgentSpace for monitoring my application" \
  --region <REGION>

必要に応じて、カスタマーマネージド KMS AWS キー--kms-key-arnを暗号化に使用するようにを指定します。--tags を使用してリソースタグを追加し--locale、エージェントレスポンスの言語を設定することもできます。

レスポンス ( にありますagentSpace.agentSpaceId) agentSpaceIdからを保存します。

後でエージェントスペースを一覧表示するには、次のコマンドを実行します。


aws devops-agent list-agent-spaces \
  --region <REGION>

2. AWS アカウントを関連付ける

AWS アカウントを関連付けてトポロジ検出を有効にします。accountType を次のいずれかの値に設定します。

monitor — エージェントスペースが存在するプライマリアカウント。このアカウントはエージェントをホストし、トポロジ検出に使用されます。
source — エージェントがモニタリングする追加のアカウント。ステップ 4 で外部アカウントを関連付ける場合は、このタイプを使用します。


aws devops-agent associate-service \
  --agent-space-id <AGENT_SPACE_ID> \
  --service-id aws \
  --configuration '{
    "aws": {
      "assumableRoleArn": "arn:aws:iam::<MONITORING_ACCOUNT_ID>:role/DevOpsAgentRole-AgentSpace",
      "accountId": "<MONITORING_ACCOUNT_ID>",
      "accountType": "monitor"
    }
  }' \
  --region <REGION>

3. オペレーターアプリを有効にする

認証フローでは、IAM、IAM アイデンティティセンター (IDC)、または外部 ID プロバイダー (IdP) を使用できます。次のコマンドを実行して、エージェントスペースのオペレータアプリを有効にします。


aws devops-agent enable-operator-app \
  --agent-space-id <AGENT_SPACE_ID> \
  --auth-flow iam \
  --operator-app-role-arn "arn:aws:iam::<MONITORING_ACCOUNT_ID>:role/DevOpsAgentRole-WebappAdmin" \
  --region <REGION>

IAM Identity Center 認証の場合は、を使用して --auth-flow idc を指定します--idc-instance-arn。外部 ID プロバイダーの場合は、を使用し--issuer-url、、--idp-client-id、および --auth-flow idpを指定します--idp-client-secret。詳細については、「IAM アイデンティティセンター認証の設定」および「外部 ID プロバイダー (IdP) 認証の設定」を参照してください。

4. (オプション) 追加のソースアカウントを関連付ける

AWS DevOps Agent で追加のアカウントをモニタリングするには、IAM クロスアカウントロールを作成します。

外部アカウントでクロスアカウントロールを作成する

外部アカウントに切り替え、信頼ポリシーを作成します。MONITORING_ACCOUNT_ID は、ステップ 2 で設定したエージェントスペースをホストするメインアカウントです。この設定により、 AWS DevOps エージェントサービスは、モニタリングアカウントに代わってセカンダリソースアカウントのロールを引き受けることができます。

次のコマンドを実行して、信頼ポリシーを作成します。


cat > devops-cross-account-trust-policy.json << 'EOF'
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "aidevops.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "<MONITORING_ACCOUNT_ID>",
          "sts:ExternalId": "arn:aws:aidevops:<REGION>:<MONITORING_ACCOUNT_ID>:agentspace/<AGENT_SPACE_ID>"
        }
      }
    }
  ]
}
EOF

クロスアカウント IAM ロールを作成します。


aws iam create-role \
  --role-name DevOpsAgentCrossAccountRole \
  --assume-role-policy-document file://devops-cross-account-trust-policy.json

次のコマンドを実行して、ロール ARN を保存します。


aws iam get-role --role-name DevOpsAgentCrossAccountRole --query 'Role.Arn' --output text

AWS 管理ポリシーをアタッチします。


aws iam attach-role-policy \
  --role-name DevOpsAgentCrossAccountRole \
  --policy-arn arn:aws:iam::aws:policy/AIDevOpsAgentAccessPolicy

インラインポリシーをアタッチして、外部アカウントで Resource Explorer サービスにリンクされたロールを作成できるようにします。


cat > devops-cross-account-additional-policy.json << 'EOF'
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowCreateServiceLinkedRoles",
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": [
        "arn:aws:iam::<EXTERNAL_ACCOUNT_ID>:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer"
      ]
    }
  ]
}
EOF

aws iam put-role-policy \
  --role-name DevOpsAgentCrossAccountRole \
  --policy-name AllowCreateServiceLinkedRoles \
  --policy-document file://devops-cross-account-additional-policy.json

外部アカウントの関連付け

モニタリングアカウントに切り替え、次のコマンドを実行して外部アカウントを関連付けます。


aws devops-agent associate-service \
  --agent-space-id <AGENT_SPACE_ID> \
  --service-id aws \
  --configuration '{
    "sourceAws": {
      "accountId": "<EXTERNAL_ACCOUNT_ID>",
      "accountType": "source",
      "assumableRoleArn": "arn:aws:iam::<EXTERNAL_ACCOUNT_ID>:role/DevOpsAgentCrossAccountRole"
    }
  }' \
  --region <REGION>

5. (オプション) GitHub を関連付ける

コンソールを使用して GitHub を登録する手順については、「」を参照してくださいCI/CD パイプラインへの接続。

登録されたサービスを一覧表示します。


aws devops-agent list-services \
  --region <REGION>

serviceType <SERVICE_ID>のを保存します: github。

コンソールで GitHub を登録したら、次のコマンドを実行して GitHub リポジトリを関連付けます。


aws devops-agent associate-service \
  --agent-space-id <AGENT_SPACE_ID> \
  --service-id <SERVICE_ID> \
  --configuration '{
    "github": {
      "repoName": "<GITHUB_REPO_NAME>",
      "repoId": "<GITHUB_REPO_ID>",
      "owner": "<GITHUB_OWNER>",
      "ownerType": "organization"
    }
  }' \
  --region <REGION>

6. (オプション) ServiceNow を登録して関連付ける

まず、ServiceNow サービスを OAuth 認証情報に登録します。


aws devops-agent register-service \
  --service servicenow \
  --service-details  '{
    "servicenow": {
      "instanceUrl": "<SERVICENOW_INSTANCE_URL>",
      "authorizationConfig": {
        "oAuthClientCredentials": {
            "clientName": "<SERVICENOW_CLIENT_NAME>",
            "clientId": "<SERVICENOW_CLIENT_ID>",
            "clientSecret": "<SERVICENOW_CLIENT_SECRET>"
        }
      }
    }
  }' \
  --region <REGION>

返されたを保存し<SERVICE_ID>、ServiceNow を関連付けます。


aws devops-agent associate-service \
  --agent-space-id <AGENT_SPACE_ID> \
  --service-id <SERVICE_ID> \
  --configuration '{
    "servicenow": {
      "instanceUrl": "<SERVICENOW_INSTANCE_URL>"
    }
  }' \
  --region <REGION>

7. (オプション) Dynatrace を登録して関連付ける

まず、Dynatrace サービスを OAuth 認証情報に登録します。


aws devops-agent register-service \
  --service dynatrace \
  --service-details '{
  "dynatrace": {
    "accountUrn": "<DYNATRACE_ACCOUNT_URN>",
    "authorizationConfig": {
        "oAuthClientCredentials": {
            "clientName": "<DYNATRACE_CLIENT_NAME>",
            "clientId": "<DYNATRACE_CLIENT_ID>",
            "clientSecret": "<DYNATRACE_CLIENT_SECRET>"
        }
      }
    }
  }' \
  --region <REGION>

返されたを保存し<SERVICE_ID>、Dynatrace を関連付けます。リソースはオプションです。環境は、関連付ける Dynatrace 環境を指定します。


aws devops-agent associate-service \
  --agent-space-id <AGENT_SPACE_ID> \
  --service-id <SERVICE_ID> \
  --configuration '{
    "dynatrace": {
      "envId": "<DYNATRACE_ENVIRONMENT_ID>",
      "resources": [
        "<DYNATRACE_RESOURCE_1>",
        "<DYNATRACE_RESOURCE_2>"
      ]
    }
  }' \
  --region <REGION>

レスポンスには、統合用のウェブフック情報が含まれます。このウェブフックを使用して、Dynatrace から調査をトリガーできます。詳細については、「Dynatrace の接続」を参照してください。

8. (オプション) Splunk を登録して関連付ける

まず、BearerToken 認証情報を使用して Splunk サービスを登録します。

エンドポイントは次の形式を使用します。 https://<XXX>.api.scs.splunk.com/<XXX>/mcp/v1/


aws devops-agent register-service \
  --service mcpserversplunk \
  --service-details '{
  "mcpserversplunk": {
    "name": "<SPLUNK_NAME>",
    "endpoint": "<SPLUNK_ENDPOINT>",
    "authorizationConfig": {
        "bearerToken": {
            "tokenName": "<SPLUNK_TOKEN_NAME>",
            "tokenValue": "<SPLUNK_TOKEN_VALUE>"
        }
      }
    }
  }' \
  --region <REGION>

返されたを保存し<SERVICE_ID>、Splunk を関連付けます。


aws devops-agent associate-service \
  --agent-space-id <AGENT_SPACE_ID> \
  --service-id <SERVICE_ID> \
  --configuration '{
    "mcpserversplunk":  {
      "name": "<SPLUNK_NAME>",
      "endpoint": "<SPLUNK_ENDPOINT>"
    }
  }' \
  --region <REGION>

レスポンスには、統合用のウェブフック情報が含まれます。このウェブフックを使用して、Splunk から調査をトリガーできます。詳細については、「Splunk の接続」を参照してください。

9. (オプション) New Relic を登録して関連付ける

まず、API キー認証情報を使用して New Relic サービスを登録します。

リージョン: USまたは EU。

オプションフィールド: applicationIds、entityGuids、 alertPolicyIds


aws devops-agent register-service \
  --service mcpservernewrelic \
  --service-details '{
    "mcpservernewrelic": {
      "authorizationConfig": {
        "apiKey": {
          "apiKey": "<YOUR_NEW_RELIC_API_KEY>",
          "accountId": "<YOUR_ACCOUNT_ID>",
          "region": "US",
          "applicationIds": ["<APP_ID_1>", "<APP_ID_2>"],
          "entityGuids": ["<ENTITY_GUID_1>"],
          "alertPolicyIds": ["<POLICY_ID_1>"]
        }
      }
    }
  }' \
  --region <REGION>

返されたを保存し<SERVICE_ID>、New Relic を関連付けます。


aws devops-agent associate-service \
  --agent-space-id <AGENT_SPACE_ID> \
  --service-id <SERVICE_ID> \
  --configuration '{
    "mcpservernewrelic":  {
      "accountId": "<YOUR_ACCOUNT_ID>",
      "endpoint": "https://mcp.newrelic.com/mcp/"
    }
  }' \
  --region <REGION>

レスポンスには、統合用のウェブフック情報が含まれます。このウェブフックを使用して、New Relic から調査をトリガーできます。詳細については、「New Relic の接続」を参照してください。

10. (オプション) Datadog を登録して関連付ける

CLI を介して関連付ける前に、まず OAuth フローを使用して AWS DevOps エージェントコンソールから Datadog を登録する必要があります。詳細については、「DataDog の接続」を参照してください。

登録されたサービスを一覧表示します。


aws devops-agent list-services \
  --region <REGION>

serviceType <SERVICE_ID>のを保存します: mcpserverdatadog。

次に、Datadog を関連付けます。


aws devops-agent associate-service \
  --agent-space-id <AGENT_SPACE_ID> \
  --service-id <SERVICE_ID> \
  --configuration '{
    "mcpserverdatadog": {
      "name": "Datadog-MCP-Server",
      "endpoint": "<DATADOG_MCP_ENDPOINT>"
    }
  }' \
  --region <REGION>

レスポンスには、統合用のウェブフック情報が含まれます。このウェブフックを使用して、Datadog から調査をトリガーできます。詳細については、「DataDog の接続」を参照してください。

11. (オプション) エージェントスペースを削除する

エージェントスペースを削除すると、そのエージェントスペースのすべての関連付け、設定、調査データが削除されます。このアクションは元に戻すことができません。

エージェントスペースを削除するには、次のコマンドを実行します。


aws devops-agent delete-agent-space \
  --agent-space-id <AGENT_SPACE_ID> \
  --region <REGION>

検証

セットアップを確認するには、次のコマンドを実行します。


# List your agent spaces
aws devops-agent list-agent-spaces \
  --region <REGION>

# Get details of a specific agent space
aws devops-agent get-agent-space \
  --agent-space-id <AGENT_SPACE_ID> \
  --region <REGION>

# List associations for an agent space
aws devops-agent list-associations \
  --agent-space-id <AGENT_SPACE_ID> \
  --region <REGION>

次の手順

追加の統合を接続するには、「」を参照してくださいAWS DevOps Agent の機能の設定。
エージェントのスキルと機能の詳細については、「」を参照してくださいDevOps エージェントスキル。
オペレーターウェブアプリを理解するには、「」を参照してくださいDevOps エージェントウェブアプリとは。

注意事項

<AGENT_SPACE_ID>、<MONITORING_ACCOUNT_ID>、、 <EXTERNAL_ACCOUNT_ID><REGION>などを実際の値に置き換えます。
サポートされているリージョンのリストについては「サポートされるリージョン」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

エージェントスペースの作成

テスト環境の作成