こんな経験ありませんか

• 「このインスタンスのスペック何だっけ」→ コンソールを開いて探す
• 「今月のAWSコストいくら」→ Cost Explorer を開いて期間を設定して...
• 「このエラーいつから出てる」→ CloudWatch Logs で検索クエリを組み立てて...

調べること自体は簡単だが、毎回手順を踏むのが面倒

gs-awslens とは

AWS リソースに自然言語で質問できる社内向けチャットアシスタント

• SRE・テックサポートのAWS 調査作業を AI に委任
• 質問するだけでデータ取得 → 分析 → 提案まで実行
• Read-Only 操作のみ。AWS リソースの変更は一切不可

使い方

チャット画面で自然言語で質問するだけ

「本番のRDSのストレージ空き容量を教えて」
「今月のAWSコストと先月比を出して」
「過去1時間のエラーログを検索して」
「Unhealthyなターゲットがあるか確認して」

• ストリーミングで回答表示（Markdown + コードハイライト）
• 会話履歴の保存・共有リンク発行に対応
• Haiku / Sonnet / Opus のモデル切り替えが可能

対応ドメイン（8領域）

アーキテクチャ

ユーザー → CloudFront ─┬─ /static/* → S3（フロントエンド）
                       └─ /api/*    → Lambda Function URL → FastAPI
                                                               ↓
                                                       Bedrock Agent
                                                      (Claude Haiku 4.5)
                                                               ↓
                                                    Action Group Lambda × 8
                                                               ↓
                                                      AWS API (Read-Only)

• 認証は Cognito + Google Workspace SSO
• 会話履歴は DynamoDB に保存

技術スタック

設計のポイント

• 完全サーバーレス
  • Lambda + DynamoDB + S3 で月額 $5〜22
• Read-Only 制約
  • Action Group の IAM ロールで書き込み API を一切許可しない
  • 安心して誰でも使える
• BFF パターン認証
  • JWT を httpOnly Cookie で管理、フロントにトークンを露出しない
• 8ドメイン分割
  • Action Group を機能ドメインごとに分離し責務を明確化

今後の展望

• 複数 AWS アカウント対応
  • 現在は1アカウントのみ。クロスアカウントに拡張予定
• 利用ログ・監査
  • 誰が何を質問したかの記録
• 利用制限
  • 1日あたりの質問数上限の設定
• 回答精度の継続改善
  • プロンプトチューニング・Action Group の拡充