AWS Agent Plugins時代の変更管理：設計・見積もり・IaC・デプロイを安全につなぐ

AWS向けのAgent Pluginsが、コーディングアシスタント上で「設計」「コスト試算」「IaC生成」「デプロイ実行」まで連結できる流れを示しました。これは便利機能の追加ではなく、変更管理の設計単位がUIから会話フローへ移ることを意味します。

参考: https://www.itmedia.co.jp/news/articles/2603/25/news073.html。

問題は機能不足ではない

PoCはすぐできます。難しいのは、同じ会話スレッドで“提案”から“本番反映”まで到達できる状況で、統制を落とさないことです。

権限を段階化する

まず実行権限を3段階に分割します。

1. Design mode: 設計案・見積もり提案のみ
2. Plan mode: IaC生成とdry-run検証まで
3. Execute mode: 承認ゲート通過後のみ適用

初期運用でExecute modeを開けるのは避けるべきです。

必須コントロール

• apply前のPolicy as Codeチェック
• 環境単位・短命資格情報の徹底
• パイプライン側でのメンテナンス時間帯制御
• デプロイ後の自動検証とロールバック条件の明文化

人間の役割は「実行者」から「審査者」へ

オペレーターが手で操作するのではなく、次をレビュー対象にします。

• 前提条件の妥当性
• 影響範囲と失敗時の復旧手段
• SLOとコストのドリフト監視

追うべき指標

• 計画作成から承認適用までの所要時間
• 却下されたエージェント計画の割合と理由
• 環境別ロールバック率
• 見積もりと実コストの月次乖離

まとめ

Agent Pluginsの価値は、単に「デプロイが早い」ことではありません。リードタイム短縮と運用品質維持を両立できるかにあります。権限段階と客観ゲートを先に設計すれば、会話駆動のクラウド運用は実務で使えるレベルに到達できます。