マルチAWS環境の運用効率化：SREによるKiro CLIの活用事例

ツール導入前の課題

GENDAはM&Aを成長戦略の柱の一つとしており、グループに新たな企業が加わる機会が多くあります。その際にはAWS環境もグループに受け入れるケースがあり、その結果、複数のAWS Organizationsにまたがる多数のAWSアカウントを管理する体制となりました。一方で、これらの環境を運用するSRE/インフラチームの人数は限られており、その人員で多くのアカウントのリソース状況を把握・管理しなければならない状況でした。

日常業務では、マネジメントコンソール上で複数のアカウントやサービスページを行き来しながらリソースの状態を確認する必要があり、環境全体の把握に多くの時間を費やしていました。また、インシデントの検知・対応においても手動での作業が中心で、アカウント数の増加により、迅速な状況把握が困難になりつつありました。

【参考】GENDAにおけるAWS環境：JAWS DAYS 2026 「マルチアカウント環境でSecurity Hubの運用！導入の苦労とポイント」 p.9

どのような状態を目指していたか

こうした状況を踏まえ、AWS環境のリソース情報を効率的に取得・操作できる仕組みを求めていました。具体的には、AWSアカウントをまたいだリソースの横断的な調査や、セキュリティ関連の検知・分析・対策のプロセスを効率化し、限られた人数でも多くのアカウントを安全に運用できる状態を目指していました。

• Cursor
• Claude Code
• GitHub Copilot
• ChatGPT

• AWS環境との統合度合い: 複数のAWS Organizationsを跨ぎ、AWSリソースの直接操作・参照が効率的に行えるかどうか
• MCP（Model Context Protocol）サーバとの連携: 外部ツールとの拡張性が機能として備わっているか

最大の決め手は、AWS操作に特化したビルトインツール aws（use_aws）の存在です。awsはAWS SDKを通じてリソースへアクセスする専用のインターフェースで、参照系の操作であれば確認なしで自動実行し、書き込み操作は必ずユーザーの承認を求めるという安全設計になっています。汎用的なシェルでAWS CLIコマンドを実行するのではなく、エラー処理やコマンド失敗時の改善案の提示まで抽象化されているため、意図しない変更のリスクを抑えながらAWS環境を調査できます。事前にProfileやルールを準備する必要はありますが、複数のOrganizationや多数のアカウントを跨いだリソースの横断調査も、一つのCLIインターフェースから快適に行えます。

GENDAのSRE/インフラチームでは、複数のOrganizationやAWSアカウントを対象にしたAWSリソースの管理・調査は日常業務で多く発生するため、この仕組みがあることで安心してAIエージェントにAWS操作を任せられる点は、他のAIコーディングツールにはない明確な優位性であり、重視していた「AWS環境との統合度合い」を満たすものでした。

また、MCPサーバとの連携が標準でサポートされており、AWS関連MCPサーバに加えAtlassianなど周辺ツールとも統合できる点も、重視していた「外部ツールとの拡張性」を満たすものでした。

2ヶ月間のPoCで得られた結論として、AWS環境の調査において大幅な効率化が見込めるため導入を推奨するという判断に至りました。特に、複数のOrganizationと多数のアカウントを横断的に参照する必要があるSRE/インフラチームにとって有用性が高いと評価しています。

改善したかった課題はどれくらい解決されたか

導入前の課題として挙げていた「複数アカウントのリソース把握に時間がかかる」という点は、大幅に改善されました。たとえば、数十個のアカウントを持つOrganizationのコスト分析では、以前は各アカウントに個別にログインしてCost Explorerでデータを抽出し、スプレッドシートに転記・集計する必要がありましたが、これがCLIに「全アカウントのコストを比較して」と依頼するだけで完了するようになりました。PoCの定量評価では、マルチアカウント環境でのコスト分析で約80%、リソース使用状況の調査で約90%の工数削減効果が確認されました。

どのような成果が得られたか

• インシデント対応の効率化: トラブルシューティングにおいて異なるAWS環境間の設定差分を比較調査する場面で、効率的に情報収集と比較を行いスムーズに原因の切り分けが行えました。
• 運用作業の改善: 一例として、AWS利用ユーザーの作成や権限承認をログインせずに実行・確認できるようになりました。ユーザーの一覧取得など、CLIで複数コマンドを実行していた作業が一度の依頼で完結するようになっています。
• AWS環境の把握: 多くの場面でマネジメントコンソールにアクセスせずにリソースの状態を把握できるようになり、環境の把握や調査が効率化されました。

最も苦労したのは、複数のAWS Organizationsにまたがる環境での初期セットアップです。Kiro CLIからAWSにアクセスするには、各アカウントごとにAWS CLIのProfile設定が事前に必要になります。導入初期は、どのように設定を整備し、どう指示を出せば効率的にアクセスできるのかを手探りで進めていました。加えて、チャットの中でインタラクティブにアカウントを切り替えられるわけではないため、多数のアカウントを横断的に調査したい場面では他のAIエージェントと同様にやや手間を感じることもありました。

ただ、ここはルールファイルにアクセス手順やOrganizationのマッピング情報をあらかじめ定義しておくことで、毎回の指示を簡略化できるようになりました。以下はその設定例です。

### 環境構成
- マルチOrganizations環境です
- 各OrganizationのPayerアカウントでIdentity Centerのユーザーを管理しています
- profile情報は `~/.aws/config` に記載されています（profile名: `xx-payer-admin`）

### アクセス手順
1. **必須**: AWS環境を操作するときは必ず `aws` を使用してください
2. **必須**: AWS環境にアクセスする前に、必ず `aws sso login --profile <プロファイル>` を実行してください

### Organization マッピング
resourcesの `organizations.md` を参照してください。

このように、Profileの整備とルールファイルの工夫で初期の苦労は解消でき、現在ではスムーズに運用できています。

合わせて、安全面の工夫として、調査時にKiro CLIに付与するProfileは必ずReadOnly権限のみを持つものを使用しています。万が一、Kiro CLIが意図せぬ書き込み操作を試みても権限不足で失敗するため、誤操作を防ぐ仕組みとして機能しています。

現在はSRE/インフラチーム内での活用がメインですが、プロダクトチームでも活用できるシーンがあると考えています。また、Kiro CLIのAgent機能のさらなる活用として、運用作業の自動化（定期的なセキュリティチェック、リソース最適化の提案など）にも取り組んでいきたいと考えています。