Claude Code Agent
AWS MSP 赋能培训

Next-Gen CLI for Cloud Engineers

让 AI 成为你的结对编程伙伴

演讲者：AWS MSP 卓越中心

2026年2月

🤔 开场问题

你们知道 2025 年的 AI 现象级产品有哪些吗？

2026 年开年又出现了哪些？

💡 提示：这些产品正在重新定义 AI 的使用方式...

2025-2026 现象级 AI 产品演进

从对话式 AI 到工程化 AI 工作台，AI 正在从"回答问题"走向"自主执行任务"。

🔥 2025 三大现象级

Claude Code

定位：AI 工程师
本质：终端原生的 AI 编程代理，能自主拆任务、写代码、跑测试、修 Bug
现象级原因：AI 真正进入"工程生产力"

豆包手机

定位：AI 原生设备
本质：硬件层面与 AI 深度融合的新型交互形态
现象级原因：AI 原生设备形态的探索

Manus

定位：通用 Agent OS
本质：通用 Agent 操作系统雏形，跨应用自动化
现象级原因：Agent 操作系统化

🚀 2026 开年三大现象级

OpenClaw

定位：AI 操作员
本质：开源浏览器 Agent，能自动点击、填写、导航网页
现象级原因：浏览器 Agent 开源爆发

MoltBook

定位：AI 工程团队工作台
本质：多 Agent 协作的工程化 AI 开发环境（Claude Code/Codex CLI 类产品统称）
现象级原因：多 Agent 工程环境成熟

Chrome Gemini

定位：AI 浏览器助手
本质：Gemini 深度嵌入 Chrome，原生页面理解 + 跨 Tab 推理 + 自动操作
现象级原因：浏览器内置 Agent 化

演进路径：Chat → Tool → Agent → Multi-Agent → Agent Workspace → Agent OS

什么是 Claude Code?

Claude Code 不是一个简单的聊天机器人，它是运行在你终端（Terminal）里的高级 AI 代理（Agent）。它能够直接理解你的本地代码库，并执行实际操作。

💻 终端原生

直接在你的 Terminal 中运行，无缝集成到现有的工作流（Git, AWS CLI, Terraform）。

🧠 深度上下文

能够扫描和阅读成百上千个文件，理解复杂的项目架构，而不仅仅是单个文件。

⚡️ 自主执行

可以规划任务、编辑文件、运行测试、修复错误，形成完整的闭环。

为什么 MSP 团队需要它？

在 AWS MSP 运维场景中，我们面临着独特的挑战，Claude Code 能精准解决这些痛点：

遗留代码维护：快速理解并重构前人留下的复杂 Boto3 脚本或 Python 2.x 代码。
基础设施修复：自动分析 Terraform Plan 报错，并直接修改 .tf 文件。
日志排查：自动 Grep 分析 CloudWatch 日志，定位 Lambda 超时或 500 错误根因。
标准化交付：确保所有生成的代码符合 AWS 最佳实践（如自动添加 Tags，使用加密等）。

核心能力演示 (Live Demo)

让我们现场演示 Claude Code 如何检查 AWS EC2 实例的配置和安全性。

➜ aws-ops git:(main) claude

Claude Code 已初始化。有什么可以帮您？

> 请检查我的 AWS 账户中所有 EC2 实例，分析它们是否符合安全最佳实践： 1. 是否启用了 IMDSv2 2. 安全组是否有过于宽松的入站规则 3. 是否有必要的 Tags（如 Name, Environment, Owner） 4. EBS 卷是否启用了加密

✓ 正在查询 EC2 实例...
✓ 发现 2 个实例，正在分析配置...

🎯 演示要点

观察 Claude Code 如何自动调用 AWS CLI，理解返回结果，并生成结构化的检查报告。

🔐 安全说明

Claude Code 使用您终端已配置的 AWS 凭证，不会存储任何敏感信息。

场景一：IaC 漂移检查与升级评估

挑战：Terraform 版本过旧，State 漂移

客户的 Terraform 代码基于 v0.12，无法在 v1.0+ 上运行，且存在大量废弃语法。

Agent 检查

Scanning：扫描整个 terraform 目录。
Analyzing：识别所有 `Type mismatch` 和废弃的 `interpolation` 语法。
⚠ Found：发现 20+ 个 .tf 文件需要更新。
📋 Report：生成详细的问题清单，等待人工确认后再执行修改。

价值： 快速识别所有兼容性问题，避免盲目升级导致生产事故。

场景二：Security Hub 安全检查

挑战：大量高危安全发现（Findings）

Security Hub 报告了 50+ 个 S3 存储桶未启用加密，以及 20+ 个安全组存在 0.0.0.0/0 开放。

> Check all S3 buckets in our CloudFormation templates. List which ones are missing 'BucketEncryption'. Also, find any SecurityGroupIngress allowing 0.0.0.0/0 on port 22 and report them.
(检查 CloudFormation 模板中的所有 S3 存储桶，列出缺少 'BucketEncryption' 的存储桶。同时查找允许 0.0.0.0/0 访问 22 端口的安全组入站规则并报告。)

✓ 发现 12 个 CFN 模板。
⚠ s3_app_data.yaml: 缺少 ServerSideEncryptionRule
⚠ s3_logs_bucket.yaml: 缺少 ServerSideEncryptionRule
⚠ sg_bastion.yaml: 检测到 SSH 入站规则 0.0.0.0/0 开放 22 端口
📋 发现 3 个问题。等待您确认后再进行修改...

场景三：故障根因快速定位

挑战：生产环境 API 偶发 500 错误

报警显示 API Gateway 5xx 激增，但 CloudWatch Logs 分散在多个 Log Group 中，人工排查困难。

Claude Code 检查流程：

指令： "分析过去 1 小时 prod 环境的 Lambda 错误日志，找出重复出现的 StackTrace。"
分析： Agent 调用 AWS CLI 拉取日志 -> 本地分析模式匹配。
发现： 定位到 `database_connector.py` 第 45 行连接超时。
建议： 建议增加指数退避（Exponential Backoff）重试机制，等待确认后再生成修复补丁。

场景四：成本优化资源检查

挑战：清理废弃 EBS 卷和未关联 EIP

需要检查跨所有 Region 的废弃资源，生成清理清单供人工确认。

🔍 资源扫描

Agent 扫描所有 Region，识别 status='available' 的 EBS 卷和未关联的 EIP，生成详细清单。

📋 确认清单

列出每个资源的 ID、Region、创建时间、预估月费用，等待人工确认后再执行清理。

最佳实践 (Best Practices)

👁️

Always Review the Plan

在 Agent 执行大规模修改前，仔细检查它生成的 "Plan"。如果方向不对，及时通过自然语言纠正。

git

Commit Often

Claude Code 会在修改文件时建议 git commit。保持小步提交，方便回滚。

🧪

Verify with Tests

不要只让 Agent 写代码，更要让它写测试。指令示例："Fix the bug AND add a regression test case."

安全接入：告别 AK/SK

挑战：企业安全合规要求禁用长期 Access Keys

很多企业环境下，为了防止凭证泄露，严禁在开发者终端保存静态的 aws_access_key_id 和 secret_access_key。

🔐 原生支持 AWS SSO (Identity Center)

Claude Code 直接复用本地终端的 AWS 鉴权环境。只要你的 Terminal 能跑通 AWS CLI，Claude 就能用。

⏱️ 临时凭证 (Temporary Credentials)

支持 aws sso login 获取的短期 Token。过期自动提示，无需在代码或配置中硬编码任何密钥。

🎭 IAM Role + AssumeRole

通过 aws sts assume-role --role-arn arn:aws:iam::xxx:role/YourRole 获取临时凭证，适合跨账户访问场景。

🖥️ EC2 Instance Profile

在 EC2 实例上运行时，自动从 Instance Metadata Service 获取凭证，零配置开箱即用。

🐳 ECS/EKS Task Role

容器环境中通过 Task Role 或 Pod Identity (Service Account) 自动注入凭证，无需手动管理。

🌐 Web Identity / OIDC

通过外部 IdP (GitHub Actions, GitLab CI) 的 OIDC Token 换取 AWS 临时凭证，适合 CI/CD 流水线。

# 1. 正常进行 SSO 登录
➜ aws sso login --profile my-prod-profile
Success: you are now logged in.

# 2. 告诉 Claude 使用该 Profile
➜ export AWS_PROFILE=my-prod-profile
➜ claude

> List my EC2 instances in us-east-1
✓ Authenticated as: ARNOA... (via SSO)
✓ Found 3 running instances.

如何开始？

请参考团队内部文档 Claude Code团队使用指南.png 获取详细的安装和配置 Token 步骤。

基础命令速查：

claude            # 启动交互模式
claude "fix bug" # 直接执行单条指令
/compact          # 压缩上下文，节省 Token
/cost             # 查看当前会话 Token 消耗

展望：AI-Native MSP

Claude Code 只是开始。未来的 MSP 服务将从 "人工响应" 转变为 "AI 自主修复"。

L1 Support 自动化

AI Agent 自动处理 80% 的常见工单（重置密码、扩容磁盘）。

预测性维护

结合 CloudWatch Anomaly Detection，提前发现隐患并生成修复方案。

Q & A

感谢您的参与

Claude Code AgentAWS MSP 赋能培训