メインコンテンツへスキップ

Kiro Powersを使ってみたかったら、AWS DevOps Agentに行き着いた話

Tech Aws Kiro Devops-Agent Claude-Code
kiitosu
著者
kiitosu
aws community builder. 画像処理やデバイスドライバ、データ基盤構築からWebバックエンドまで、多様な領域に携わってきました。地図解析や地図アプリケーションの仕組みにも経験があり、幅広い技術を活かした開発に取り組んでいます。休日は草野球とランニングを楽しんでいます。
目次

はじめに
#

やりたかったのは「IAMの権限をちゃんと意識したインシデント調査」でした。

調査のためにエージェントへAWS権限を渡すとき、最小権限を設計する手が回らず「admin丸渡しか、諦めるか」になりがちです。これをどうにかしたい。その手段としてKiro Powersが使えるんじゃないか、と思って触り始めたのが出発点でした。

ところが、やりたいことを分解しながら調べていったら、最終的に「あれ、これKiro要らないのでは?」というところに着地してしまいました。この記事はその過程の記録です。結論から言うと、私が本当に必要としていたのは AWS DevOps Agent と Skills であって、Kiroではなかった、という話です。

なお今回は「調べて考えた編」です。実際にデプロイして動かす話は長くなるので、別の記事に分けます。

やりたかったこと
#

最初にぼんやり考えていたのはこんな感じでした。

  • インシデント調査をエージェントにやらせたい
  • それを既存のアプリに組み込みたい
  • 「組み込む仕組み」自体を半自動で展開できるようにしたい

「既存リポに組み込む再利用可能な仕組み」を作りたい、というのが軸でした。最初はそれをKiro Powersで作るんだと思い込んでいました。

今回の活動で解決するべき課題は3つ
#

  1. IAMロール制御の適正化が重い — 調査のためにエージェントへ権限を渡すとき、ちゃんと最小権限を設計する手が回らず、「admin丸渡し」か「諦める」の二択になりがち
  2. PII漏えいの懸念 — ログをLLMに読ませる以上、「万が一」を気にする人がいる
  3. 再利用可能な調査ワークフローを展開したい — アプリごとに調査手順を作り、使い回したい

ここで一度立ち止まりました。これ、Kiroで解決する話なんだっけ?

調べて分かったこと:解はKiroじゃなかった
#

順番に当たっていくと、3つの課題はどれも AWS DevOps Agent 側の機能で解けることが分かってきました。

IAMの悩みは「委譲」で消える
#

AWS DevOps Agentは、調査をAWS側のマネージドなエージェントに委譲する作りです。read-onlyの標準ポリシーとセッション毎のguardrail(権限の天井)を最初から持っていて、調査範囲はAgent Spaceという境界で閉じ込められます。

つまり、IDEのツールにAWSの認証情報を持たせる必要がなく、渡すのはDevOps Agentへのトークンだけ。実際のAWSアクセスはDevOps Agentが自分のread-onlyロールで行います。

flowchart LR
    IDE["IDE / クライアント
(トークンだけ持つ)"] --> DA["AWS DevOps Agent
(read-only ロール + guardrail)"]
    DA --> AWS["AWS リソース
(CloudWatch / X-Ray / ...)"]

「IDEに動的IAMを設定するのが難しい」と悩んでいたのですが、そもそもIDEに権限を持たせない設計にすれば悩み自体が消える、という話でした。これはKiroかどうかとは関係ありません。

「ワークフローを展開する仕組み」の正体はSkills
#

これが一番の発見でした。「アプリ固有の調査手順をリポに置いて再利用・自動展開する仕組み」は、Kiro Powersではなく DevOps Agent Skills が担います。

  • Skillは SKILL.md(frontmatterに name / description)を中心としたディレクトリ
  • GitHubリポのディレクトリからImportできる(更新はSyncで反映)。つまりバージョン管理が効く
  • agent type(On-demand / Incident RCA / Evaluation など)でターゲティングできる

私が「Kiro Powersでメタ的に作りたい」と思っていたものは、実体としてはSkillsそのものでした。しかもGitHub importがあるので、「既存リポに組み込む」という当初の願望にそのまま乗ります。

じゃあKiroは何だったのか
#

整理すると、こういう住み分けでした。

役割 今回
AWS DevOps Agent 調査エンジン本体(AWS側で動く) 中心
DevOps Agent Skills 調査ワークフロー(SKILL.md 主役
Kiro / Powers 開発IDE / IDEにツールをまとめるパッケージ機構 不要

そして決定的だったのが、DevOps Agentには Claude Code 用のプラグイン(AWS MCP Server経由)があること。私は普段Claude Codeを使っているので、新しいIDE(Kiro)を入れなくても、慣れたClaude CodeからDevOps Agentを呼んで、IDEの中で調査できる。

「IDEでインタラクティブに調査したい」もClaude Codeで足りる。となると、Kiroを使う理由が見当たらなくなりました。

結論
#

最終的にたどり着いた構成はこれです。

  • 調査エンジン:AWS DevOps Agent(read-only委譲でadmin丸渡しを回避)
  • 調査ワークフロー:SkillsSKILL.md をアプリのリポにgit管理 → GitHub import)
  • 入口:Claude Code + DevOps Agentプラグイン(普段のIDEのまま)

Kiroは(今回の目的に対しては)不要でした。Kiroが効くのは「AI-native IDEに乗り換えたい」みたいな別の動機があるときだと思います。

ちなみにDevOps Agentには動作モードが3つあって、On-demand(必要なときだけ会話的に)→ Investigations(アラートで自動起動)→ Evaluations(過去パターンから予防提案) という順で試すつもりです。まずはOn-demandから。実際に動かすのはこれからなので、続きはまた別の記事で。

最後に
#

AWSはいっぱいサービスが有ってなかなか覚えられないです。使って初めて覚えられるような脳みそなので、頑張って使ってみたいと思います。

Reply by Email

関連記事

Claude Code hookで /dev/tty が使えなくなった話
Tech Claude-Code Linux Tty Hook
GraphQL × DuckDB × S3 を Lambda で動かしてみた。ウォームクエリを10倍速くするまで
Tech DuckDB Aws Lambda Aws-S3 Graphql Cdk Performance
Lambda Durable Functionsを使ってみる — Step Functionsとの比較からハンズオンまで
Tech Aws Lambda Serverless