「DevOps Agentで始めるAWS運用」というタイトルで登壇しました

こんにちは。たかやまです。

2026年6月4日 に インシデント対応を自動化し、運用をもっと ラクにAIを活用した障害対応最前線 にて「DevOps Agentで始めるAWS運用」というタイトルでウェビナー登壇しました。170名を超える方にご参加いただきありがとうございました！

こちらその時の登壇に用いた資料の紹介になります。ぜひこれからDevOps Agentを導入しようと思っている方の参考になれば幸いです。

対象読者は以下を想定しています。

• AWSシステムの保守・運⽤の業務を担当されている⽅
• AWS DevOps Agent に関⼼がある、またはこれからご利⽤予定の⽅

登壇資料

内容サマリー

まず、2026年4月にGAしたDevOps Agentの概要とGAに伴うアップデートを紹介しました。
そのあとは、DevOps Agentの始め方から実際の本番運用に組み込むまでを、以下のステップの流れで紹介しています。

• ステップ1：チャットからの調査
• ステップ2：アラート発火からの自動トリガー
• ステップ3：本番運用・組織展開

DevOps Agent GA

DevOps Agentは、インシデントの検出から予防の提案まで自律的に行うフロンティアエージェント（介入を必要とせずに動作する自律型AIエージェント）です。

主な機能として、調査を行うInvestigation、改善提案を行うPrevention、チャット機能を提供するOn-Demand SRE Tasksがあります。

2026年4月のGAに合わせて、本番運用に活用できるアップデートがいくつか追加されています。

• 提供リージョンの拡大。プレビュー時のus-east-1のみから東京（ap-northeast-1）を含む6リージョンに拡大。
  • なお、Agent Spaceを作成したリージョンに関わらずアカウント内の全リージョンのリソースを調査可能
• 料金体系の公開。$0.0083/エージェント秒の従量課金で、稼働時間にのみ課金されアイドル時間は無料。
  • 初回2ヶ月のFree TierとSupportプランに応じた毎月のクレジット充当あり
  • リセールパートナー経由でご利用の場合、Free TierやSupportプランクレジットの適用条件が異なる可能性があります。詳細はご利用のリセラー企業にお問い合わせください。
• 新Capabilityの追加。Grafana / Azure / PagerDuty / EventBridge連携などが追加
• エンタープライズ対応。CloudFormation / 外部IdP / PrivateLink / CMKなどに対応

また、深夜2時のアラート対応を例に、DevOps Agentがない世界とある世界を比較して紹介しました。
アラート発火と同時に自動で調査が開始され、体系立ててまとめられた状態から調査をスタートできるのは、初動速度だけでなくエンジニアの精神的負担の面でも効果が大きいと感じています。

• 深夜2時のアラート対応、AWS DevOps Agent があればどう変わるのか比べてみた | DevelopersIO

DevOps Agentの始め方

DevOps Agentを始めるうえで重要な概念がAgent Spaceです。

Agent SpaceはDevOps Agentが動作する論理コンテナで、それぞれが独立して動作します。実運用ではアクセスするAWSアカウント・利用する統合ツール・セキュリティ境界を意識して作成単位を分けていく必要があります。

Agent Spaceの作成自体は簡単で、デフォルト設定であればワンクリックで作成できます。作成すると管理者向けのAgent Space画面（AWSコンソール）と、運用チーム向けのエージェントウェブアプリの2つのコンソールが提供されます。

言語設定はAgent Space作成時にJapaneseを選択すればエージェントが日本語で応答します。
エージェントウェブアプリ側も日本語対応済みですが、こちらはブラウザの言語設定に依存する点に注意が必要です。

ステップ1 チャットから調査

エージェントウェブアプリはチャットUIに重きを置いた画面構成になっているので、まずはチャットからDevOps Agentとやりとりすることをおすすめしました。
不明点があればエージェント側から選択肢形式で質問を提示してくれるため、やりとりしやすい形式になっています。

1点注意点として、チャットは閲覧しているページに合わせてレスポンスを変える仕様があります。
聞きたい内容とレスポンスがずれる場合は、現在開いている画面が聞きたい内容と合っているかを意識すると良いです。

どの画面でどんなクエリを投げればよいかは、公式ドキュメントのサンプルクエリが参考になります。

• On Demand DevOps Tasks - Sample queries | AWS DevOps Agent

実際のデモとして、チャットからCloudWatchアラームの調査（Investigation）をトリガーする例を紹介しました。
調査は「調査タイムライン → 根本原因 → 緩和計画」の流れで進み、緩和計画ではステップバイステップのコマンドに加えて事後検証やロールバックの後処理まで提示してくれます。

調査権限については、ユーザーが付与するIAMロールポリシーとDevOps Agentが管理する権限ガードレールの両方で許可されたものにのみアクセス可能です。
ガードレールはCreate / Modify / DeleteといったミュータブルなAPIをブロックしますが、ベストプラクティスとしてはガードレールに頼らずユーザー側でも変更権限を付与しないことが推奨されています。

以下のブログでDevOps Agentのガードレールについて詳しく紹介しているのでこちらもぜひご参考にしてください。

• 公式ドキュメント化されたDevOps AgentガードレールとSecurityHub / GuardDuty / S3の調査能力を確認してみた | DevelopersIO

ステップ2 アラート発火から自動トリガー

DevOps Agentは組み込みの統合機能やWebhookを使ってイベントトリガーできます。
登壇ではCloudWatch Alarm → SNS → Lambda → Webhookという構成でDevOps Agentの調査を自動トリガーするケースを紹介しました。

自動トリガーに気づくための仕組みとしてはSlack統合がおすすめです。
通知は調査ごとにスレッドに折りたたまれるため、チャンネルが荒れにくくChatOpsとも相性が良いです。

調査が大量に実行されて料金が高騰しないかという不安に対しては、インシデントトリアージとスキルによる調査の抑制が用意されています。
トリアージはProceed（新規調査の実施）/ Skipped（スキルで定義した基準に一致した場合に調査せず破棄）/ Linked（関連する既存調査への紐付け）の3種類に分類され、重要なインシデントに調査を集中させることができます。

スキップを利用する例として、特定のCloudWatchアラームの調査をスキップするスキルを紹介しました。
スキル作成のポイントは「説明」の記載がDevOps Agentのトリガー条件となるため、エージェントの視点でスキルをトリガーする具体的なシナリオ・サービス・エラーの種類・症状を含めることが重要です。

とはいえ、いちからスキルを作成するのは労力がかかると思うので、記載方法に困った場合はチャットからスキル作成を依頼するのがおすすめです。
また、DevOps Agentのサンプルスキルも公開されているので、考えているスキルが既にないかこちらも一度目を通してみてください。

• aws-samples/sample-code-for-devops-agent-skills | GitHub

DevOps Agentのカスタマイズ方法としては、DevOps Agent Skills / Learned Skills / Agent Instructionsの3つのアプローチがあるので、それぞれの違いも比較表で紹介しています。

また、DevOps Agentは調査内容から自身で学習するサービスです。
チャットでのやりとりだけよりも自動トリガーを設定したほうが学習量が増えるので、本格的に使いたい方はぜひ自動トリガーまで設定してみてください。

ステップ3 本番運用・組織展開

組織展開におけるAgent Space設計のベストプラクティスは、オンコールの責任範囲に合わせて作成単位を分けることです。
複数チームでの横断調査・共有サービス/NOC・CCoEによるIaCテンプレート展開の3つの構成パターンを紹介しました。
調査範囲を絞ることでコスト削減や調査精度の向上が期待できる一方、絞りすぎるとコンテキストを見逃す可能性もあるため、結果に基づいた反復チューニングが重要です。

• AWS DevOps Agent を本番環境にデプロイするためのベストプラクティス | Amazon Web Services ブログ

このほか、IDプロバイダー（IAM Identity Center / Okta / Microsoft Entra ID）連携によるアクセス分離についても触れています。

最後に、組織に合わせた機能拡張としてカスタムMCPサーバーを紹介しました。
DevOps AgentにはカスタムMCPサーバーという独自の情報操作や調査をさせる口が用意されています。
ネイティブに統合されていないナレッジを追加で入れたい場合や、障害一次対応のようなもう一歩踏み込んだ調査をさせたい場合に、ユーザー側でDevOps Agentを拡張できます。

DevOps Agentを触っていて気になる部分があれば、カスタムMCPサーバーの活用もぜひ検討してみてください。

• AWS DevOps AgentとBedrockを連携させ、障害一次対応を自動化する | DevelopersIO
• AWS DevOps Agent × MCP サーバーでインシデント調査ナレッジを蓄積してみた | DevelopersIO

まとめ

• AWS DevOps Agentは検出から予防まで自律的に行うフロンティアエージェント
• Agent Spaceは1クリックで作成でき、東京リージョン・秒単位課金で導入しやすい
• アラート発火と同時に自動で調査を開始し、障害調査の初動を肩代わりする
• ただしDevOps Agentは「実行はしない」運用のチームメイト
• 最終的には人が判断と対応を

最後に

今回は「DevOps Agentで始めるAWS運用」というタイトルで登壇した内容を紹介しました。

DevOps AgentはGAに伴い東京リージョン対応や秒課金単位での料金体系の公開もあり、導入しやすいサービスになっています。
気になった方はまずチャットからの調査を試していただき、DevOps Agentに効果を感じた方はぜひアラート発火からの自動トリガーまで設定してみてください。

また、ドキュメントの更新履歴を見ると、DevOps AgentはGA以降What's Newに上がらない速度でほぼ毎週のようにサイレントアップデートが続いています。
直近でもAgent InstructionsやAsset APIの追加など機能拡張が続いており、AWSとしても期待を寄せているサービスなのかなと感じています。今後のアップデートにも注目していきたいところです。

• Document history | AWS DevOps Agent

以上、たかやま(@nyan_kotaroo)でした。