翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS DevOps エージェント CLI オンボーディングガイド
<a name="getting-started-with-aws-devops-agent-cli-onboarding-guide"></a>

## 概要:
<a name="overview"></a>

 AWS DevOps エージェントを使用すると、 AWS インフラストラクチャをモニタリングおよび管理できます。このガイドでは、 コマンドラインインターフェイス (AWS CLI) AWS を使用して AWS DevOps エージェントを設定する方法について説明します。IAM ロールを作成し、エージェントスペースをセットアップして、 AWS アカウントを関連付けます。また、オペレーターアプリを有効にし、オプションでサードパーティーの統合を接続します。このガイドの所要時間は約 20 分です。

AWS DevOps エージェントは、米国東部 (バージニア北部）、米国西部 (オレゴン）、アジアパシフィック (シドニー）、アジアパシフィック (東京）、欧州 (フランクフルト）、欧州 (アイルランド) の 6 つの AWS リージョンで利用できます。サポートされているリージョンの詳細については、「」を参照してください[サポートされるリージョン](about-aws-devops-agent-supported-regions.md)。

## 前提条件
<a name="prerequisites"></a>

作業を開始する前に、以下の準備が整っていることを確認します。
+ AWS CLI バージョン 2 のインストールと設定
+  AWS モニタリングアカウントへの認証
+  AWS Identity and Access Management (IAM) ロールを作成し、ポリシーをアタッチするアクセス許可
+ モニタリング AWS アカウントとして使用するアカウント
+ CLI および JSON AWS 構文に精通していること

このガイド全体で、次のプレースホルダー値を独自のプレースホルダー値に置き換えます。
+ `<MONITORING_ACCOUNT_ID>` — モニタリング (プライマリ) AWS アカウントの 12 桁のアカウント ID
+ `<EXTERNAL_ACCOUNT_ID>` — モニタリングするセカンダリ AWS アカウントの 12 桁のアカウント ID (ステップ 4 で使用)
+ `<REGION>` — エージェントスペースの AWS リージョンコード (例: `us-east-1`または `eu-central-1`)
+ `<AGENT_SPACE_ID>` — `create-agent-space` コマンドによって返されるエージェントスペース識別子

## IAM ロールの設定
<a name="iam-roles-setup"></a>

### 1. DevOps エージェントスペースロールを作成する
<a name="1-create-the-devops-agent-space-role"></a>

次のコマンドを実行して、IAM 信頼ポリシーを作成します。

```
cat > devops-agentspace-trust-policy.json << 'EOF'
{
  "Version": "2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "aidevops.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "<MONITORING_ACCOUNT_ID>"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:aidevops:<REGION>:<MONITORING_ACCOUNT_ID>:agentspace/*"
        }
      }
    }
  ]
}
EOF
```

IAM ロールを作成します。

```
aws iam create-role \
  --region <REGION> \
  --role-name DevOpsAgentRole-AgentSpace \
  --assume-role-policy-document file://devops-agentspace-trust-policy.json
```

次のコマンドを実行して、ロール ARN を保存します。

```
aws iam get-role --role-name DevOpsAgentRole-AgentSpace --query 'Role.Arn' --output text
```

 AWS 管理ポリシーをアタッチします。

```
aws iam attach-role-policy \
  --role-name DevOpsAgentRole-AgentSpace \
  --policy-arn arn:aws:iam::aws:policy/AIDevOpsAgentAccessPolicy
```

Resource Explorer サービスにリンクされたロールの作成を許可するインラインポリシーを作成してアタッチします。

```
cat > devops-agentspace-additional-policy.json << 'EOF'
{
  "Version": "2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Sid": "AllowCreateServiceLinkedRoles",
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": [
        "arn:aws:iam::<MONITORING_ACCOUNT_ID>:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer"
      ]
    }
  ]
}
EOF

aws iam put-role-policy \
  --role-name DevOpsAgentRole-AgentSpace \
  --policy-name AllowCreateServiceLinkedRoles \
  --policy-document file://devops-agentspace-additional-policy.json
```

### 2. オペレーターアプリの IAM ロールを作成する
<a name="2-create-the-operator-app-iam-role"></a>

次のコマンドを実行して、IAM 信頼ポリシーを作成します。

```
cat > devops-operator-trust-policy.json << 'EOF'
{
  "Version": "2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "aidevops.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "<MONITORING_ACCOUNT_ID>"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:aidevops:<REGION>:<MONITORING_ACCOUNT_ID>:agentspace/*"
        }
      }
    }
  ]
}
EOF
```

IAM ロールを作成します。

```
aws iam create-role \
  --role-name DevOpsAgentRole-WebappAdmin \
  --assume-role-policy-document file://devops-operator-trust-policy.json \
  --region <REGION>
```

次のコマンドを実行して、ロール ARN を保存します。

```
aws iam get-role --role-name DevOpsAgentRole-WebappAdmin --query 'Role.Arn' --output text
```

 AWS マネージドオペレーターアプリポリシーをアタッチします。

```
aws iam attach-role-policy \
  --role-name DevOpsAgentRole-WebappAdmin \
  --policy-arn arn:aws:iam::aws:policy/AIDevOpsOperatorAppAccessPolicy
```

この管理ポリシーは、エージェントスペース機能にアクセスするためのアクセス許可をオペレーターアプリに付与します。これらの機能には、調査、レコメンデーション、ナレッジ管理、チャット、 AWS サポート統合が含まれます。ポリシーは、 `aws:PrincipalTag/AgentSpaceId`条件を使用して特定のエージェントスペースへのアクセスをスコープします。アクションの完全なリストの詳細については、「」を参照してください[DevOps エージェント IAM アクセス許可](aws-devops-agent-security-devops-agent-iam-permissions.md)。

## オンボーディング手順
<a name="onboarding-steps"></a>

### 1. エージェントスペースを作成する
<a name="1-create-an-agent-space"></a>

次のコマンドを実行して、エージェントスペースを作成します。

```
aws devops-agent create-agent-space \
  --name "MyAgentSpace" \
  --description "AgentSpace for monitoring my application" \
  --region <REGION>
```

必要に応じて、カスタマーマネージド KMS AWS キー`--kms-key-arn`を暗号化に使用するように を指定します。`--tags` を使用してリソースタグを追加し`--locale`、エージェントレスポンスの言語を設定することもできます。

レスポンス ( にあります`agentSpace.agentSpaceId`) `agentSpaceId`から を保存します。

後でエージェントスペースを一覧表示するには、次のコマンドを実行します。

```
aws devops-agent list-agent-spaces \
  --region <REGION>
```

### 2. AWS アカウントを関連付ける
<a name="2-associate-your-aws-account"></a>

 AWS アカウントを関連付けてトポロジ検出を有効にします。`accountType` を次のいずれかの値に設定します。
+ `monitor` — エージェントスペースが存在するプライマリアカウント。このアカウントはエージェントをホストし、トポロジ検出に使用されます。
+ `source` — エージェントがモニタリングする追加のアカウント。ステップ 4 で外部アカウントを関連付ける場合は、このタイプを使用します。

```
aws devops-agent associate-service \
  --agent-space-id <AGENT_SPACE_ID> \
  --service-id aws \
  --configuration '{
    "aws": {
      "assumableRoleArn": "arn:aws:iam::<MONITORING_ACCOUNT_ID>:role/DevOpsAgentRole-AgentSpace",
      "accountId": "<MONITORING_ACCOUNT_ID>",
      "accountType": "monitor"
    }
  }' \
  --region <REGION>
```

### 3. オペレーターアプリを有効にする
<a name="3-enable-the-operator-app"></a>

認証フローでは、IAM、IAM アイデンティティセンター (IDC)、または外部 ID プロバイダー (IdP) を使用できます。次のコマンドを実行して、エージェントスペースのオペレータアプリを有効にします。

```
aws devops-agent enable-operator-app \
  --agent-space-id <AGENT_SPACE_ID> \
  --auth-flow iam \
  --operator-app-role-arn "arn:aws:iam::<MONITORING_ACCOUNT_ID>:role/DevOpsAgentRole-WebappAdmin" \
  --region <REGION>
```

IAM Identity Center 認証の場合は、 を使用して `--auth-flow idc` を指定します`--idc-instance-arn`。外部 ID プロバイダーの場合は、 を使用し`--issuer-url`、、`--idp-client-id`、および `--auth-flow idp`を指定します`--idp-client-secret`。詳細については、「[IAM アイデンティティセンター認証の設定](aws-devops-agent-security-setting-up-iam-identity-center-authentication.md)」および「[外部 ID プロバイダー (IdP) 認証の設定](aws-devops-agent-security-setting-up-external-identity-provider-idp-authentication.md)」を参照してください。

**注:** アカウント内の別のエージェントスペースのオペレーターアプリロールを以前に作成している場合は、そのロール ARN を再利用できます。

### 4. (オプション) 追加のソースアカウントを関連付ける
<a name="4-optional-associate-additional-source-accounts"></a>

 AWS DevOps Agent で追加のアカウントをモニタリングするには、IAM クロスアカウントロールを作成します。

#### 外部アカウントでクロスアカウントロールを作成する
<a name="create-the-cross-account-role-in-the-external-account"></a>

外部アカウントに切り替え、信頼ポリシーを作成します。`MONITORING_ACCOUNT_ID` は、ステップ 2 で設定したエージェントスペースをホストするメインアカウントです。この設定により、 AWS DevOps エージェントサービスは、モニタリングアカウントに代わってセカンダリソースアカウントのロールを引き受けることができます。

次のコマンドを実行して、信頼ポリシーを作成します。

```
cat > devops-cross-account-trust-policy.json << 'EOF'
{
  "Version": "2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "aidevops.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "<MONITORING_ACCOUNT_ID>",
          "sts:ExternalId": "arn:aws:aidevops:<REGION>:<MONITORING_ACCOUNT_ID>:agentspace/<AGENT_SPACE_ID>"
        }
      }
    }
  ]
}
EOF
```

クロスアカウント IAM ロールを作成します。

```
aws iam create-role \
  --role-name DevOpsAgentCrossAccountRole \
  --assume-role-policy-document file://devops-cross-account-trust-policy.json
```

次のコマンドを実行して、ロール ARN を保存します。

```
aws iam get-role --role-name DevOpsAgentCrossAccountRole --query 'Role.Arn' --output text
```

 AWS 管理ポリシーをアタッチします。

```
aws iam attach-role-policy \
  --role-name DevOpsAgentCrossAccountRole \
  --policy-arn arn:aws:iam::aws:policy/AIDevOpsAgentAccessPolicy
```

インラインポリシーをアタッチして、外部アカウントで Resource Explorer サービスにリンクされたロールを作成できるようにします。

```
cat > devops-cross-account-additional-policy.json << 'EOF'
{
  "Version": "2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Sid": "AllowCreateServiceLinkedRoles",
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": [
        "arn:aws:iam::<EXTERNAL_ACCOUNT_ID>:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer"
      ]
    }
  ]
}
EOF

aws iam put-role-policy \
  --role-name DevOpsAgentCrossAccountRole \
  --policy-name AllowCreateServiceLinkedRoles \
  --policy-document file://devops-cross-account-additional-policy.json
```

#### 外部アカウントの関連付け
<a name="associate-the-external-account"></a>

モニタリングアカウントに切り替え、次のコマンドを実行して外部アカウントを関連付けます。

```
aws devops-agent associate-service \
  --agent-space-id <AGENT_SPACE_ID> \
  --service-id aws \
  --configuration '{
    "sourceAws": {
      "accountId": "<EXTERNAL_ACCOUNT_ID>",
      "accountType": "source",
      "assumableRoleArn": "arn:aws:iam::<EXTERNAL_ACCOUNT_ID>:role/DevOpsAgentCrossAccountRole"
    }
  }' \
  --region <REGION>
```

### 5. (オプション) GitHub を関連付ける
<a name="5-optional-associate-github"></a>

**注:** CLI を介して関連付ける前に、まず OAuth フローを使用して AWS DevOps エージェントコンソールから GitHub を登録する必要があります。

コンソールを使用して GitHub を登録する手順については、「」を参照してください[CI/CD パイプラインへの接続](configuring-capabilities-for-aws-devops-agent-connecting-to-cicd-pipelines-index.md)。

登録されたサービスを一覧表示します。

```
aws devops-agent list-services \
  --region <REGION>
```

serviceType `<SERVICE_ID>`の を保存します: `github`。

コンソールで GitHub を登録したら、次のコマンドを実行して GitHub リポジトリを関連付けます。

```
aws devops-agent associate-service \
  --agent-space-id <AGENT_SPACE_ID> \
  --service-id <SERVICE_ID> \
  --configuration '{
    "github": {
      "repoName": "<GITHUB_REPO_NAME>",
      "repoId": "<GITHUB_REPO_ID>",
      "owner": "<GITHUB_OWNER>",
      "ownerType": "organization"
    }
  }' \
  --region <REGION>
```

### 6. (オプション) ServiceNow を登録して関連付ける
<a name="6-optional-register-and-associate-servicenow"></a>

まず、ServiceNow サービスを OAuth 認証情報に登録します。

```
aws devops-agent register-service \
  --service servicenow \
  --service-details  '{
    "servicenow": {
      "instanceUrl": "<SERVICENOW_INSTANCE_URL>",
      "authorizationConfig": {
        "oAuthClientCredentials": {
            "clientName": "<SERVICENOW_CLIENT_NAME>",
            "clientId": "<SERVICENOW_CLIENT_ID>",
            "clientSecret": "<SERVICENOW_CLIENT_SECRET>"
        }
      }
    }
  }' \
  --region <REGION>
```

返された を保存し`<SERVICE_ID>`、ServiceNow を関連付けます。

```
aws devops-agent associate-service \
  --agent-space-id <AGENT_SPACE_ID> \
  --service-id <SERVICE_ID> \
  --configuration '{
    "servicenow": {
      "instanceUrl": "<SERVICENOW_INSTANCE_URL>"
    }
  }' \
  --region <REGION>
```

### 7. (オプション) Dynatrace を登録して関連付ける
<a name="7-optional-register-and-associate-dynatrace"></a>

まず、Dynatrace サービスを OAuth 認証情報に登録します。

```
aws devops-agent register-service \
  --service dynatrace \
  --service-details '{
  "dynatrace": {
    "accountUrn": "<DYNATRACE_ACCOUNT_URN>",
    "authorizationConfig": {
        "oAuthClientCredentials": {
            "clientName": "<DYNATRACE_CLIENT_NAME>",
            "clientId": "<DYNATRACE_CLIENT_ID>",
            "clientSecret": "<DYNATRACE_CLIENT_SECRET>"
        }
      }
    }
  }' \
  --region <REGION>
```

返された を保存し`<SERVICE_ID>`、Dynatrace を関連付けます。リソースはオプションです。環境は、関連付ける Dynatrace 環境を指定します。

```
aws devops-agent associate-service \
  --agent-space-id <AGENT_SPACE_ID> \
  --service-id <SERVICE_ID> \
  --configuration '{
    "dynatrace": {
      "envId": "<DYNATRACE_ENVIRONMENT_ID>",
      "resources": [
        "<DYNATRACE_RESOURCE_1>",
        "<DYNATRACE_RESOURCE_2>"
      ]
    }
  }' \
  --region <REGION>
```

レスポンスには、統合用のウェブフック情報が含まれます。このウェブフックを使用して、Dynatrace から調査をトリガーできます。詳細については、「[Dynatrace の接続](connecting-telemetry-sources-connecting-dynatrace.md)」を参照してください。

### 8. (オプション) Splunk を登録して関連付ける
<a name="8-optional-register-and-associate-splunk"></a>

まず、BearerToken 認証情報を使用して Splunk サービスを登録します。

エンドポイントは次の形式を使用します。 `https://<XXX>.api.scs.splunk.com/<XXX>/mcp/v1/`

```
aws devops-agent register-service \
  --service mcpserversplunk \
  --service-details '{
  "mcpserversplunk": {
    "name": "<SPLUNK_NAME>",
    "endpoint": "<SPLUNK_ENDPOINT>",
    "authorizationConfig": {
        "bearerToken": {
            "tokenName": "<SPLUNK_TOKEN_NAME>",
            "tokenValue": "<SPLUNK_TOKEN_VALUE>"
        }
      }
    }
  }' \
  --region <REGION>
```

返された を保存し`<SERVICE_ID>`、Splunk を関連付けます。

```
aws devops-agent associate-service \
  --agent-space-id <AGENT_SPACE_ID> \
  --service-id <SERVICE_ID> \
  --configuration '{
    "mcpserversplunk":  {
      "name": "<SPLUNK_NAME>",
      "endpoint": "<SPLUNK_ENDPOINT>"
    }
  }' \
  --region <REGION>
```

レスポンスには、統合用のウェブフック情報が含まれます。このウェブフックを使用して、Splunk から調査をトリガーできます。詳細については、「[Splunk の接続](connecting-telemetry-sources-connecting-splunk.md)」を参照してください。

### 9. (オプション) New Relic を登録して関連付ける
<a name="9-optional-register-and-associate-new-relic"></a>

まず、API キー認証情報を使用して New Relic サービスを登録します。

リージョン: `US`または `EU`。

オプションフィールド: `applicationIds`、`entityGuids`、 `alertPolicyIds`

```
aws devops-agent register-service \
  --service mcpservernewrelic \
  --service-details '{
    "mcpservernewrelic": {
      "authorizationConfig": {
        "apiKey": {
          "apiKey": "<YOUR_NEW_RELIC_API_KEY>",
          "accountId": "<YOUR_ACCOUNT_ID>",
          "region": "US",
          "applicationIds": ["<APP_ID_1>", "<APP_ID_2>"],
          "entityGuids": ["<ENTITY_GUID_1>"],
          "alertPolicyIds": ["<POLICY_ID_1>"]
        }
      }
    }
  }' \
  --region <REGION>
```

返された を保存し`<SERVICE_ID>`、New Relic を関連付けます。

```
aws devops-agent associate-service \
  --agent-space-id <AGENT_SPACE_ID> \
  --service-id <SERVICE_ID> \
  --configuration '{
    "mcpservernewrelic":  {
      "accountId": "<YOUR_ACCOUNT_ID>",
      "endpoint": "https://mcp.newrelic.com/mcp/"
    }
  }' \
  --region <REGION>
```

レスポンスには、統合用のウェブフック情報が含まれます。このウェブフックを使用して、New Relic から調査をトリガーできます。詳細については、「[New Relic の接続](connecting-telemetry-sources-connecting-new-relic.md)」を参照してください。

### 10. (オプション) Datadog を登録して関連付ける
<a name="10-optional-register-and-associate-datadog"></a>

CLI を介して関連付ける前に、まず OAuth フローを使用して AWS DevOps エージェントコンソールから Datadog を登録する必要があります。詳細については、「[DataDog の接続](connecting-telemetry-sources-connecting-datadog.md)」を参照してください。

登録されたサービスを一覧表示します。

```
aws devops-agent list-services \
  --region <REGION>
```

serviceType `<SERVICE_ID>`の を保存します: `mcpserverdatadog`。

次に、Datadog を関連付けます。

```
aws devops-agent associate-service \
  --agent-space-id <AGENT_SPACE_ID> \
  --service-id <SERVICE_ID> \
  --configuration '{
    "mcpserverdatadog": {
      "name": "Datadog-MCP-Server",
      "endpoint": "<DATADOG_MCP_ENDPOINT>"
    }
  }' \
  --region <REGION>
```

レスポンスには、統合用のウェブフック情報が含まれます。このウェブフックを使用して、Datadog から調査をトリガーできます。詳細については、「[DataDog の接続](connecting-telemetry-sources-connecting-datadog.md)」を参照してください。

### 11. (オプション) エージェントスペースを削除する
<a name="11-optional-delete-an-agent-space"></a>

エージェントスペースを削除すると、そのエージェントスペースのすべての関連付け、設定、調査データが削除されます。このアクションは元に戻すことができません。

エージェントスペースを削除するには、次のコマンドを実行します。

```
aws devops-agent delete-agent-space \
  --agent-space-id <AGENT_SPACE_ID> \
  --region <REGION>
```

## 検証
<a name="verification"></a>

セットアップを確認するには、次のコマンドを実行します。

```
# List your agent spaces
aws devops-agent list-agent-spaces \
  --region <REGION>

# Get details of a specific agent space
aws devops-agent get-agent-space \
  --agent-space-id <AGENT_SPACE_ID> \
  --region <REGION>

# List associations for an agent space
aws devops-agent list-associations \
  --agent-space-id <AGENT_SPACE_ID> \
  --region <REGION>
```

## 次の手順
<a name="next-steps"></a>
+ 追加の統合を接続するには、「」を参照してください[AWS DevOps Agent の機能の設定](configuring-capabilities-for-aws-devops-agent.md)。
+ エージェントのスキルと機能の詳細については、「」を参照してください[DevOps エージェントスキル](about-aws-devops-agent-devops-agent-skills.md)。
+ オペレーターウェブアプリを理解するには、「」を参照してください[DevOps エージェントウェブアプリとは](about-aws-devops-agent-what-is-a-devops-agent-web-app.md)。

## 注意事項
<a name="notes"></a>
+ `<AGENT_SPACE_ID>`、`<MONITORING_ACCOUNT_ID>`、、 `<EXTERNAL_ACCOUNT_ID>``<REGION>`などを実際の値に置き換えます。
+ サポートされているリージョンのリストについては「[サポートされるリージョン](about-aws-devops-agent-supported-regions.md)」を参照してください。