OpenClaw AWS Infra 技能指南

OpenClaw AWS Infra 技能概述

AWS Infra 技能透過 AWS CLI 及相關工具將 OpenClaw 連接到 Amazon Web Services。安裝後，您的 OpenClaw 代理程式可以佈建資源、管理 IAM 政策、除錯權限問題並優化雲端成本——全部透過自然語言指令完成。

AWS 是全球最大的雲端平台，提供超過 200 項服務。其 CLI 涵蓋的範圍極為龐大，擁有數千個子指令和設定選項。OpenClaw AWS Infra 技能讓您無需記憶複雜的 aws 指令和 JSON 政策文件。您不再需要瀏覽 AWS 主控台或閱讀冗長的文件，只需描述您的需求，代理程式便會為您處理一切。

典型工作流程：

1. 要求 OpenClaw 檢查您在 us-east-1 區域的 EC2 執行個體狀態。
2. 代理程式使用適當的篩選條件執行 aws ec2 describe-instances。
3. 結果以可讀的摘要形式回傳，包含執行個體 ID、狀態和成本——無需切換上下文。

此技能涵蓋核心 AWS 服務，包括 EC2、S3、Lambda、IAM、VPC、CloudFormation、CloudWatch、RDS 和 DynamoDB。它與 Kubernetes 技能（適用於執行 EKS 叢集的團隊）以及 Docker Essentials 技能（適用於基於容器的部署）可自然搭配使用。

AWS Infra 技能安裝前的準備

在安裝 AWS Infra 技能之前，請確認您已具備以下條件：

• OpenClaw 已安裝並正在執行（v1.0+）
• AWS CLI v2 已安裝 — 安裝指南
• 擁有已設定 IAM 憑證的 AWS 帳號
• clawhub CLI 已安裝，用於技能管理

驗證您的設定：

# 檢查 OpenClaw 版本
openclaw --version

# 檢查 AWS CLI 版本
aws --version

# 驗證 AWS 身份認證
aws sts get-caller-identity

# 列出已設定的配置檔
aws configure list-profiles

如果 aws sts get-caller-identity 回傳錯誤，您需要設定憑證。執行 aws configure 或依照下方「設定指南」章節的說明設定環境變數。

如何安裝 AWS Infra 技能

使用單一指令安裝 AWS Infra 技能：

npx clawhub@latest install aws-infra

驗證安裝：

clawhub list

您應可在已安裝技能清單中看到 aws-infra。此技能包含成本分析、IAM 政策除錯、安全稽核和資源清查的輔助腳本。

AWS Infra 技能設定指南

AWS Infra 技能使用您現有的 AWS CLI 設定進行身份認證。無需額外的 API 金鑰——只要 aws 指令在您的機器上能正常運作，此技能就能運作。

憑證設定

AWS 支援多種身份認證方式。請選擇適合您工作流程的方式：

# 選項 1：使用存取金鑰設定（基本設定）
aws configure
# 輸入：AWS Access Key ID、Secret Access Key、預設區域、輸出格式

# 選項 2：使用環境變數
export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
export AWS_DEFAULT_REGION=us-east-1

# 選項 3：使用 AWS SSO（推薦用於組織）
aws configure sso
aws sso login --profile my-sso-profile

# 選項 4：使用 IAM 角色（推薦用於 EC2/ECS 工作負載）
# 無需設定——SDK 會自動使用執行個體角色

配置檔管理

對於多帳號設定，使用具名配置檔來區分環境：

# 設定測試環境的配置檔
aws configure --profile staging

# 設定生產環境的配置檔
aws configure --profile production

# 使用特定配置檔
export AWS_PROFILE=staging

**重要提示：**切勿使用根帳號憑證。請建立專用的 IAM 使用者或角色，並遵循最小權限原則。使用密碼管理工具（如 1Password 技能）或環境變數來安全儲存憑證。

AWS Infra 技能使用範例

1. 除錯 IAM 權限錯誤

你：「我在嘗試寫入 reports S3 儲存桶時遇到 AccessDenied 錯誤。幫我修正 IAM 政策。」

代理程式會執行 aws iam get-user-policy 和 aws s3api get-bucket-policy 來檢查您目前的權限。它會找出缺少的 s3:PutObject 動作，並建議一份包含所需最小權限的更新政策文件。

2. 佈建 EC2 執行個體

你：「在 us-west-2 啟動一個 t3.medium Ubuntu 執行個體，附帶 50GB EBS 磁碟區，並使用我的預設安全群組。」

代理程式會使用 aws ec2 run-instances，搭配 us-west-2 中最新 Ubuntu LTS 的正確 AMI ID，掛載 EBS 磁碟區，並指定安全群組。它會回傳執行個體 ID、公有 IP 和預估每小時成本。

3. 分析與優化成本

你：「顯示本月 AWS 費用最高的前 5 項服務，並建議降低成本的方法。」

代理程式會使用 aws ce get-cost-and-usage 查詢 AWS Cost Explorer，依服務分類支出明細，並找出優化機會——例如未使用的 EBS 磁碟區、過大的執行個體，或可降低儲存成本的 S3 生命週期政策。

4. 設定 VPC 網路架構

你：「建立一個 VPC，包含跨兩個可用區域的公有和私有子網路，並為私有子網路設定 NAT 閘道以存取網際網路。」

代理程式會產生並執行必要的 aws ec2 指令，建立 VPC、子網路、路由表、網際網路閘道和 NAT 閘道。它會回傳所有已建立資源的摘要，包含資源 ID 和 CIDR 範圍。

5. 使用 CloudWatch 監控

你：「設定一個 CloudWatch 警報，當 API 伺服器的 CPU 使用率超過 80% 達 5 分鐘時通知我。」

代理程式會使用 aws cloudwatch put-metric-alarm 建立警報，設定評估期間和閾值，並將其連接到 SNS 主題以發送電子郵件通知。它會確認警報已啟用，並提供 ARN 供參考。

安全與最佳實踐

AWS 基礎設施操作可能對您的雲端環境和成本產生重大影響。請遵循以下準則以確保安全：

• **使用最小權限 IAM 政策。**建立專用的 IAM 使用者或角色，僅授予任務所需的權限。AWS IAM 最佳實踐指南詳細說明了政策設計。
• **切勿使用根帳號憑證。**請始終使用 IAM 使用者或角色。在根帳號上啟用 MFA 並妥善保管。
• **依區域和帳號限定範圍。**使用具名配置檔和環境變數，防止在錯誤的帳號或區域中進行意外變更。
• **套用前先審查。**OpenClaw 在建立、修改或刪除資源前會提示確認。請務必審查提議的變更和預估成本。
• **啟用 CloudTrail。**設定 AWS CloudTrail 以記錄透過技能發出的所有 API 呼叫。定期審查日誌。
• **為所有資源加上標籤。**使用一致的標籤進行成本追蹤和擁有權管理。要求代理程式為每個建立的資源加上 Environment、Project 和 Owner 標籤。

常見錯誤與故障排除

「Unable to locate credentials」

AWS CLI 無法在任何標準位置找到有效的憑證。

# 檢查目前的憑證
aws sts get-caller-identity

# 重新設定憑證
aws configure

# 或設定環境變數
export AWS_ACCESS_KEY_ID=your_key_id
export AWS_SECRET_ACCESS_KEY=your_secret_key

如果使用 SSO，請執行 aws sso login 以重新整理您的工作階段。

「An error occurred (AccessDenied)」

您的 IAM 使用者或角色缺少請求操作所需的權限。

1. 檢查您目前的身份：aws sts get-caller-identity
2. 審查已附加的政策：aws iam list-attached-user-policies --user-name your-user
3. 使用 IAM Policy Simulator 測試權限：造訪 IAM Policy Simulator
4. 請您的帳號管理員授予所需的特定權限。

「An error occurred (InvalidParameterValue)」

請求中的參數不正確或與目標區域不相容。

1. 確認資源存在於指定的區域：aws ec2 describe-instances --region us-east-1
2. 注意 AMI ID 是特定於區域的——us-east-1 的 AMI 無法在 eu-west-1 中使用。
3. 驗證安全群組 ID 屬於正確的 VPC。