Video Validated MSP Guide

Agentic AI 워크플로를 단계별로 따라가며 팀에 바로 적용해 보세요.

9.1 AWS Profile 기반 AI Ops

AWS IAM Identity Center(Single Sign-On)와 Amazon Q Developer CLI, Model Context Protocol(MCP)을 결합해 멀티 계정·멀티 리전 환경을 자동화하는 실무 가이드입니다. AWS Korea의 "Amazon Q Developer CLI에서 MCP 활용하기" 영상과 AWS Workshop Studio의 "MCP Tutorial on AWS"에서 소개된 최신 팁을 중심으로 재구성했습니다.

업데이트 참고 자료

1. IAM Identity Center 기반 최신 자격 증명 패턴

루트 액세스 키나 장기 IAM 사용자 대신, IAM Identity Center(구 AWS SSO)를 기본으로 사용하세요. 최신 AWS CLI v2.22+는 PKCE 인증을 기본 지원하며, 필요 시 디바이스 코드 흐름(--use-device-code)으로 대체할 수 있습니다.

# SSO 세션 생성
$ aws configure sso
SSO session name (Recommended): corp-sso
SSO start URL [None]: https://example.awsapps.com/start
SSO region [None]: ap-northeast-2
Attempting to automatically open the SSO authorization page...

# 로그인 유지
$ aws sso login --profile corp-platform

운영 팁

  • 모든 실무자는 고정 액세스 키 발급 대신 SSO 세션을 기본 채널로 사용합니다.
  • 세션 만료를 자동 감지하려면 aws configure export-credentials 또는 credential_process를 활용합니다.
  • 프로덕션 계정은 별도 SSO 권한 세트(예: ReadOnly, Incident-Response)로 분리합니다.

2. 실무용 프로파일 설계 예시

IAM Identity Center 세션과 계정·역할 별 프로파일을 명확히 분리하면 Amazon Q, AWS CLI, Terraform 등 모든 도구가 같은 설정을 재사용할 수 있습니다.

# ~/.aws/config
[profile corp-platform]
sso_session = corp-sso
sso_account_id = 111111111111
sso_role_name = PlatformAdmin
region = ap-northeast-2
output = json

[profile customer-prod]
sso_session = corp-sso
sso_account_id = 222222222222
sso_role_name = CustomerProdObserver
region = ap-northeast-2
output = json

[sso-session corp-sso]
sso_region = ap-northeast-2
sso_start_url = https://example.awsapps.com/start
sso_registration_scopes = sso:account:access

권장 규칙

  • 프로파일 이름은 <조직>-<계정>-<환경> 형태로 통일합니다.
  • CLI · SDK · Amazon Q · Terraform Cloud 모두 동일한 프로파일명을 사용합니다.
  • 프로덕션 계정은 읽기 전용 기본 역할과 Incident 전용 승격 역할을 구분합니다.

주의 사항

  • 하드코딩된 aws_access_key_id, aws_secret_access_key는 사용하지 않습니다.
  • 공유 서버(EC2, Bastion)에~/.aws 전체를 복사해두지 않습니다.
  • Git 저장소에 프로파일 파일을 절대 커밋하지 않습니다.

3. Amazon Q Developer CLI와 MCP 실무 연동

Amazon Q Developer CLI(q CLI)는 AWS SDK 인증 체인을 그대로 사용합니다. AWS_PROFILE 또는--profile을 지정하여 특정 계정/역할로 Q CLI와 MCP 서버를 실행할 수 있습니다.

# Amazon Q Developer CLI 인증 & 프로파일 전환
$ q login
$ AWS_PROFILE=corp-platform q status
$ AWS_PROFILE=customer-prod q generate "Summarize open GuardDuty findings for last 4h"

# MCP 툴 실행 (동영상 예제와 동일한 패턴)
$ AWS_PROFILE=customer-prod q chat --no-interactive $'API Gateway에서 15분간 5xx 급증 구간을 찾고\nCloudWatch Logs Insights 쿼리를 제안해줘.'

실무 체크리스트

  • Q CLI는 AWS CLI와 동일한 자격 증명을 사용하므로, SSO 세션이 만료되면 aws sso login으로 갱신합니다.
  • 계정 전환은 AWS_PROFILE 환경 변수로 스크립트화하면 안전합니다.
  • 워크샵 예제처럼 이터레이션 가능한 MCP 도구 (예: log analyzer, cost analyzer)를 정의하면 Q CLI에서 바로 호출할 수 있습니다.

4. 운영 시나리오 예제

동영상과 워크숍에서 소개된 흐름을 MSP 관점에서 재구성한 실전 플레이북입니다.

① 고객사 API 장애 대응

# 현황 파악
AWS_PROFILE=customer-prod aws cloudwatch describe-alarms --state-value ALARM
# 로그 패턴 분석을 Q CLI에 위임
AWS_PROFILE=customer-prod q chat --no-interactive $'최근 15분 API Gateway 5xx 로그를 분석하고 완화 절차를 제안해줘.'
  • Amazon Q가 제안한 완화 스크립트를 검토 후 Systems Manager Automation 문서로 등록합니다.
  • 필요 시 IAM Identity Center에서 Incident 전용 권한 세트로 승격 후 조치합니다.

② 월간 비용 리뷰 & 권장 조치 자동화

# 모든 고객 계정에 대한 비용 리포트 생성
for profile in customer-prod customer-dr customer-dev; do
AWS_PROFILE=$profile q chat --no-interactive $'Cost Explorer 데이터를 이용해 Idle EC2/EBS 비용을 찾고\n 절감 조치를 제안해줘.'
done
  • 보고서는 Amazon Q가 생성한 Markdown을 S3에 저장하고 고객사 Slack/Email로 공유합니다.
  • 권장 조치 중 자동화 가능한 항목은 EventBridge Scheduler + Lambda로 구현합니다.

③ IaC + MCP 안전 배포 (워크숍 응용)

# Amazon Q에게 배포 플레이북 생성 요청
AWS_PROFILE=corp-platform q chat --no-interactive $'ECS 서비스를 dev→staging→prod 순서로 배포하는 런북과 롤백 절차를 초안해줘.'
  • 워크숍 예제와 같이 streamable-http 방식 MCP 서버를 통해 Terraform 실행 상태를 실시간으로 전달합니다.
  • 승인 단계는 AWS CodePipeline Manual approval + Amazon Q가 생성한 점검표를 조합해 운영합니다.

5. 원격 MCP 서버 (EC2) 운영 팁

원격 MCP 서버를 EC2에 배포하면 Q CLI나 Claude Desktop에서 바로 호출할 수 있는 AI 보조 도구를 만들 수 있습니다. GitHub 프로젝트Remote-MCP-Server-on-EC2에서 소개된 흐름을 MSP 환경에 맞춰 응용하세요.

# Docker 기반 배포
$ docker build -t mcp-runtime .
$ docker run --name mcp-runtime -p 8000:8000 mcp-runtime

# Claude Desktop에서 원격 MCP 연결
{ "mcpServers": { "aws-runtime": { "command": "npx", "args": ["mcp-remote", "https://mcp.example.com/mcp", "--allow-http"] } } }

운영 시 체크사항

  • 프로덕션에서는 HTTPS + 인증 프록시(Amazon ALB + Cognito, API Gateway + Lambda Authorizer 등)를 반드시 사용합니다.
  • 툴이 실행하는 AWS API 권한은 별도 IAM 역할(예: MCPAutomationRole)로 분리합니다.
  • CloudWatch Logs와 AWS X-Ray로 MCP 서버 호출 로그를 수집해 감사 추적을 남깁니다.

6. 보안·감사 체계

자동 점검

  • aws iam identity-center describe-account-assignment로 권한 검토 자동화
  • Config Conformance Pack + Amazon Q 리포트로 규정 위반 요약
  • CloudTrail Lake에서 AWS_PROFILE별 활동 추적

AI 활용 감사

  • Amazon Q에게 "마지막 24시간 동안의 IAM 변경 사항 정리" 요청
  • MCP 툴로 GuardDuty · Security Hub 알림을 요약해 주간 보고 자동화
  • 변경 승인 내역은 CodeCatalyst / Service Catalog Change Manager와 연동

7. 마무리 체크리스트

  • SSO 기반 프로파일 체계를 정립하고 모든 도구가 동일한 이름을 사용하도록 관리합니다.
  • Amazon Q Developer CLI와 MCP 툴은 프로파일 전환 스크립트와 함께 배포해 휴먼 에러를 줄입니다.
  • Incident 대응, 비용 최적화, IaC 배포 등 반복 업무는 Q CLI + MCP 시나리오로 정형화합니다.
  • 모든 자동화는 CloudTrail, EventBridge, Config를 통해 감사 가능한 형태로 남깁니다.

이제 9.2 IaC + AI 통합으로 이동해 Infrastructure as Code와 AI 협업 워크플로를 심화 적용해 보세요.

다음: IaC + AI 통합 →← 개요로 돌아가기