Cloud Pilot MCP
cloud-pilotは、search、execute、tofuという3つのツールを提供します。これらは合計で1,289以上のサービスと51,900以上のAPI操作をカバーし、完全なインフラストラクチャライフサイクル管理を実現します。実行時にAPIを探索し、ライブクラウド状態に対してスクリプトを実行し、OpenTofuを通じて計画/適用/破棄によるステートフルなデプロイメントを管理します。
エージェントが接続すると、サーバーはシニアクラウドプラットフォームエンジニアのペルソナを提供します。これにはエンジニアリング原則、プロバイダー固有の専門知識、安全性への意識、構造化されたワークフロープロンプトが含まれており、エージェントは自動的に本番環境グレードのクラウドアーキテクチャとセキュリティ基準で動作します。
デモ: OpenTofuを使用した3層AWSデプロイメント — VPC、ALB、ASG、RDSをtofuツールでデプロイおよび破棄します。
v0.2での変更点:
ネイティブSDK実行 — AWS呼び出しは
@aws-sdk/client-*パッケージを使用(カスタムHTTPではありません)。Azureは自動リトライ/スロットリングを備えた@azure/core-rest-pipelineを使用。シリアライズのバグを排除。OpenTofu統合 — ステートフルなインフラライフサイクルのための新しい
tofuツール:HCLの記述、計画、適用、破棄、既存リソースのインポート、ドリフト検出、ロールバック。4段階のドライランシステム — ネイティブクラウドプロバイダー検証(AWS DryRun)、セッション強制ゲート、コスト警告付きの影響サマリー、ロールバック計画付きのセッション変更セット。
構成可能な安全性 — プロバイダーごとの
dryRunPolicy:enforced(対話型セッション)、optional(承認済み自動化)、disabled(読み取り専用ボット)。
目次
セクション | 説明 |
既存のアプローチが不十分な理由 | |
3ツールパターン:search、execute、tofu | |
4プロバイダー、1,289サービス、51,900以上の操作 | |
システム設計とコンポーネントの概要 | |
指示、リソース、プロンプト、構成 | |
AIエージェントとクラウドの間に制御プレーンが必要な場合 | |
AIをアドバイザーから実行者に変える方法 — 実際のデプロイ例 | |
ServiceNow、Teams/Slack、およびMCPが全クラウドの統合を可能にする仕組み | |
ステートフルなデプロイ:計画、適用、破棄、インポート、ドリフト検出、ロールバック | |
ランディングゾーン、グローバルWAN、K8s、インシデント対応、コスト分析 | |
はじめに | |
前提条件、インストール、実行 | |
自動探索、環境変数、Vault、Azure AD | |
コンテナデプロイメント | |
stdio、HTTP、APIキー認証 | |
OpenAI SDK、Cursor、LangChain、カスタムエージェント | |
リファレンス | |
完全な | |
3層仕様システム:カタログ、インデックス、完全仕様 | |
サンドボックス分離レベル、モード、許可リスト、監査証跡 | |
認証、CORS、レート制限 | |
運用 | |
ビルド、テスト、Docker、カタログ更新 | |
ソースツリーの解説 | |
プロバイダー、認証バックエンド、デプロイターゲットの追加 | |
一般的な問題と診断手順 |
問題点
クラウドプロバイダーは、数百のサービスにわたって数千のAPI操作を公開しています。AI主導のクラウド管理に対する従来のアプローチは、以下のいずれかです:
少数のツールをハードコードする(例:「EC2インスタンスを一覧表示」「S3バケットを作成」) — エージェントができることを開発者が想定したものに制限する
API仕様から数百のMCPツールを生成する — エージェントのコンテキストウィンドウを圧倒し、ツール選択を信頼できなくする
クラウドプロバイダーが新しいサービスを立ち上げるたびに手動更新を必要とする
cloud-pilot-mcpは、探索と実行パターンでこれを解決します。エージェントは実行時に必要なものを探索し、サンドボックス化された実行環境を通じて呼び出します。事前構築されたツールも、固定されたサービスリストも、手動更新も不要です。
仕組み
User Agent cloud-pilot-mcp
| | |
| "Set up a Transit Gateway | |
| connecting three VPCs" | |
|--------------------------->| |
| | |
| | search("transit gateway") |
| |----------------------------->|
| | |
| | CreateTransitGateway, |
| | CreateTGWVpcAttachment, |
| | CreateTGWRouteTable + schemas|
| |<-----------------------------|
| | |
| | execute(provider: "aws", |
| | code: sdk.request({ |
| | service: "ec2", |
| | action: "CreateTGW", |
| | params: {...} |
| | }) |
| |----------------------------->|
| | | QuickJS
| | | Sandbox
| | |----+
| | | | SigV4
| | | | signed
| | |<---+
| | Transit Gateway ID, state |
| |<-----------------------------|
| | |
| "Done! TGW tgw-0abc123 | |
| created in us-east-1" | |
|<---------------------------| |エージェントは、どのようなAPIが存在するかを推論し、シーケンスを計画し、実行します。すべて会話の中で行われます。
クラウドプロバイダーのカバー範囲
+-------------------------------------------+
| 51,900+ API Operations |
| |
| +----------+ +---------+ +--------+ |
| | AWS | | Azure | | GCP | |
| | 421 svcs | | 240+ | | 305 | |
| | 18,109 | | 3,157 | | 12,599 | |
| | ops | | ops | | ops | |
| +----------+ +---------+ +--------+ |
| |
| +-----------+ |
| | Alibaba | |
| | 323 svcs | |
| | 18,058 | |
| | ops | |
| +-----------+ |
+-------------------------------------------+プロバイダー | サービス | 操作 | 仕様ソース | 認証 |
AWS | 421 | 18,109 | boto/botocore (jsDelivr CDN経由) | AWS CLI / SDK認証チェーン -> ネイティブ |
Azure | 240+ | 3,157 | azure-rest-api-specs (GitHub CDN経由) | Azure CLI / DefaultAzureCredential -> |
GCP | 305 | 12,599 | Google Discovery API (ライブ) | gcloud CLI / GoogleAuth -> Bearerトークン |
Alibaba | 323 | 18,058 | Alibaba Cloud API + api-docs.json | aliyun CLI / 認証チェーン -> ACS3-HMAC-SHA256 |
合計 | 1,289+ | 51,923 |
すべてのサービスは動的に探索されるため、事前構成は不要です。クラウドプロバイダーが新しいサービスを開始すると、次回のカタログ更新時に自動的に利用可能になります。
アーキテクチャ
MCP Protocol (stdio or Streamable HTTP)
|
+-------------v--------------+
| cloud-pilot-mcp |
| |
+--------------------+----------------------------+--------------------+
| | | |
| +--------------+ | +--------------+ | +--------------+ |
| | Persona | | | search | | | Safety | |
| +--------------+ | +--------------+ | | + Audit | |
| | Sr. Cloud | | | 51,900+ ops | | +--------------+ |
| | Platform | | | | | | read-only | |
| | Engineer | | | Tier 1: | | | allowlists | |
| | | | | Catalog | | | blocklists | |
| | 8 principles | | | (1,289 svc) | | | 4-level | |
| | 6 prompts | | | Tier 2: | | | dry-run | |
| | 4 provider | | | Op Index | | | audit trail | |
| | guides | | | Tier 3: | | | dryRunPolicy | |
| | | | | Full Spec | | | rate limit | |
| +--------------+ | +--------------+ | +--------------+ |
| | | |
| +--------------+ | +--------------+ | |
| | execute | | | tofu | | |
| +--------------+ | +--------------+ | |
| | VM sandbox | | | OpenTofu | | |
| | Native SDK | | | plan/apply | | |
| | calls | | | destroy | | |
| | | | | import | | |
| | Fast reads, | | | State mgmt | | |
| | ad-hoc | | | Drift detect | | |
| | scripts | | | Rollback | | |
| +--------------+ | +--------------+ | |
+--------------------+----------------------------+--------------------+
| | | |
+--------+ +---+ +---+ +--------+
| | | |
+----v-----+ +-----v---+ +--v-----+ +-----v------+
| AWS | | Azure | | GCP | | Alibaba |
| Native | | ARM | | REST | | ACS3-HMAC |
| SDK v3 | | Pipeline| | + Auth | | + fetch |
| 421 svcs | | 240+ | | 305 | | 323 svcs |
+----------+ +---------+ +--------+ +------------+組み込みクラウドエンジニアリングペルソナ
AIエージェントがcloud-pilot-mcpに接続すると、サーバーは自動的に4つのレイヤーを通じてエージェントの動作を形成します:
サーバー指示(常に配信)
接続のたびに、サーバーはエージェントをシニアクラウドプラットフォームエンジニア、セキュリティアーキテクト、DevOpsスペシャリストとして確立するMCPinstructionsを送信します:
8つのコア原則:セキュリティファースト、Infrastructure as Code、爆発半径の最小化、多層防御、コスト意識、運用の卓越性、Well-Architected Framework、デフォルトでの高可用性
行動基準:実行前の探索、変更前の状態確認、変更操作前のドライラン、推論の明示、コスト/リスクの警告、変更に伴う監視の包含
安全性への意識:現在のモード(読み取り専用/読み取り書き込み/フル)の理解と伝達、監査証跡の尊重、ドライランの使用
指示は、構成されたプロバイダー、そのモード、リージョン、許可されたサービスのみを含むように動的に調整されます。
プロバイダーの専門知識(MCPリソース経由でオンデマンド)
プロバイダー固有の詳細なエンジニアリングガイド(各約1,500語)がMCPリソースとして利用可能です:
リソースURI | コンテンツ |
| すべての原則とプロバイダーの概要を含む完全なペルソナドキュメント |
| VPC/TGW設計、IAMロール、GuardDuty/SecurityHub、S3ライフサイクル、Graviton、アンチパターン |
| ランディングゾーン、Entra ID/Managed Identity、Virtual WAN、Defender、Policy、PIM |
| 共有VPC、Workload Identity Federation、GKE Autopilot、VPCサービス制御 |
| CEN、RAM/STS、ACK、Security Center、中国固有(ICP、データレジデンシー) |
| 現在の安全モード、許可されたサービス、ブロックされたアクション、監査構成 |
エージェントは必要に応じてこれらを取得します。不要な接続にはオーバーヘッドはゼロです。
ワークフロープロンプト(構造化された多段階手順)
6つのMCPプロンプトが、エージェントが呼び出せる意見に基づいた多段階ワークフローを提供します:
プロンプト | 内容 |
| 完全なクラウドランディングゾーンのデプロイ:組織構造、ID、ネットワーク、セキュリティベースライン、監視 |
| セキュリティインシデントのライフサイクル:封じ込め、調査、根絶、復旧、事後分析 |
| 完全なコスト監査:アイドルリソース、適正化、予約容量、ストレージ階層化、ネットワークコスト |
| 包括的なセキュリティレビュー:IAM、ネットワーク、暗号化、ログ記録、コンプライアンス、脆弱性管理 |
| ワークロード移行計画:探索、6R戦略、ターゲットアーキテクチャ、移行ウェーブ、カットオーバー |
| プロバイダーネイティブな推奨事項を含む6つの柱すべてにわたるWell-Architected Frameworkレビュー |
各プロンプトはprovider引数を受け入れ(構成されたプロバイダーに動的にスコープされます)、エージェントがsearchとexecuteを使用して段階的に従う構造化されたガイダンスを返します。
ペルソナ構成
ペルソナはデフォルトで有効になっています。config.yamlでカスタマイズまたは無効化できます:
persona:
enabled: true # Set false to disable all persona features
# instructionsOverride: "..." # Replace default instructions with your own
# additionalGuidance: "..." # Append custom policies (e.g., "All resources must be tagged with CostCenter")
enablePrompts: true # Set false to disable workflow prompts
enableResources: true # Set false to disable persona resourcesまたは環境変数経由:CLOUD_PILOT_PERSONA_ENABLED=false
cloud-pilotを選ぶ理由
Claude CodeやCursorを使用しており、独自のAWS認証情報を持っている開発者であれば、これを使う必要はありません。直接aws CLIコマンドを実行してください。AIはすでにCLI構文を知っており、管理者アクセス権を持つ自分自身を信頼しているはずです。
cloud-pilotは、クラウドと対話するものがターミナルのあなたではない場合に存在します。 これは、信頼されていない、または半信頼のAIエージェントとクラウドアカウントの間の制御プレーンです。
SaaS製品 — 顧客のためのクラウドコパイロット
顧客がAWS/Azure/GCPアカウントを接続し、チームがチャットインターフェースを通じてインフラを管理するプラットフォームを構築しているとします。AIに生の認証情報を渡すことはできません。ジュニアエンジニアには読み取り専用モード、シニアには読み取り書き込みモード、コンプライアンスのための完全な監査証跡、そして誰も誤って本番データベースに触れないようにするためのサービス許可リストが必要です。Cloud-pilotは、これを安全にするミドルウェアです。
社内DevOpsポータル
あなたの会社には50人のエンジニアがいます。全員に広範なIAMポリシーを持つAWSコンソールアクセスを与える代わりに、社内チャットインターフェースの背後にcloud-pilotをデプロイします。エンジニアは「ステージングで何が動いている?」や「ECSサービスをスケールアップして」と尋ねます。MCPは読み取りと書き込みの権限を強制し、すべてのアクションをログに記録し、インフラチームが監査証跡をレビューします。1セットの認証情報、制御されたアクセス、完全な可視性。
インシデント対応ボット
午前3時にPagerDutyアラートが発火します。自動化されたエージェントがcloud-pilot経由で接続し、CloudWatchメトリクスをプルし、EC2インスタンスの状態を確認し、CloudTrailイベントを取得し、Slackに要約を投稿します。すべて読み取り専用モードで、完全な監査ログ付きです。初期トリアージに人間は不要です。ボットは何も変更できないため、状況を悪化させるリスクはありません。
コンサルティング企業向けのマルチクラウド管理
コンサルティング企業がクライアントごとにAWS、Azure、GCPを管理しています。クライアントごとに1つのMCPサーバーを配置し、それぞれVaultソースの認証情報、環境にスコープされた許可リスト、個別の監査ログを持たせます。コンサルタントはClaude、ChatGPT、Cursorなど、好みのAIツールを使用し、すべてcloud-pilotを経由します。クライアントがプロバイダーを
This server cannot be installed
Resources
Unclaimed servers have limited discoverability.
Looking for Admin?
If you are the server author, to access and configure the admin panel.
Latest Blog Posts
MCP directory API
We provide all the information about MCP servers via our MCP API.
curl -X GET 'https://glama.ai/api/mcp/v1/servers/vitalemazo/cloud-pilot-mcp'
If you have feedback or need assistance with the MCP directory API, please join our Discord server