OpenClaw AWS Deploy

☁️ 一键部署安全 AI 代理到云端

一键部署 OpenClaw AI 代理到 AWS 的自动化脚本,支持 VPC/EC2/SSM 全托管架构,集成多模型(Bedrock/Gemini),月费约 $30,零 SSH 暴露。

收藏
3.6k
安装
1.2k
版本
1.0.0
CLS 安全扫描中
预计需要 3 分钟...

使用说明

OpenClaw AWS Deploy 综合评估

核心用法

本技能提供一套完整的 AWS 基础设施即代码方案,通过单条命令完成 OpenClaw AI 代理的云端部署。核心脚本 deploy_minimal.sh 自动化执行:VPC 网络创建(含子网、IGW、路由表)、安全组配置(零入站端口,仅 SSM 访问)、IAM 最小权限角色、SSM Parameter Store 密钥托管、ARM64 EC2 实例(t4g.medium)启动及 OpenClaw 网关初始化。部署后通过 Telegram Bot 与用户交互,支持多种 LLM 后端(AWS Bedrock 免 API Key、Google Gemini 需密钥)。

显著优点

  • 安全架构设计:强制 IMDSv2、加密 EBS、SSM-only 访问(无 SSH 暴露)、运行时密钥获取(不落盘持久化)
  • 成本优化:ARM64 实例比 x86 性价比更高,月费控制在 ~$30(含计算/存储/IP)
  • 模型灵活性:Bedrock 原生集成(MiniMax/DeepSeek/Kimi 等),Gemini Flash 免费额度可用
  • 运维便利:一键升降级(teardown 脚本),资源标签化管理,支持 --cleanup-first 重建
  • 经验固化:22 项已知问题及解决方案已编码至脚本,降低踩坑概率

潜在缺点与局限性

  • 实例规格刚性:t4g.small 2GB 内存会导致 OOM,必须 t4g.medium 起步
  • 模型启用门槛:Bedrock 部分模型(Anthropic/Meta)需 AWS 控制台手动申请使用权限
  • Telegram 依赖:Bot 配对流程对国内用户存在网络可达性问题
  • Node 版本敏感:强制要求 Node.js ≥22.12.0,官方源安装逻辑复杂
  • Systemd 安全降级:因命名空间问题移除了 ProtectHome/PrivateTmp 等加固选项
  • 单区域架构:Public Subnet 单点部署,无高可用设计

适合人群

  • 需要快速搭建个人/小型团队 AI 代理服务的开发者
  • 熟悉 AWS 基础操作、具备 IAM/SSM 概念的技术用户
  • 追求低成本(< $30/月)且愿意接受单实例架构的场景
  • 对 SSH 暴露敏感、偏好 AWS 原生安全通道的企业安全团队

常规风险

| 风险类别 | 说明 | 缓解措施 |
|---------|------|---------|
| 密钥泄露 | `.env.starfish` 本地明文存储 | 已配置 SSM Parameter Store 替代,启动时动态注入 |
| 权限过大 | IAM 角色若配置过宽 | 脚本内置最小权限策略,仅含 SSM/Bedrock/EC2 描述权限 |
| 供应链攻击 | Node.js/npm 依赖 | 锁定 `openclaw@latest` 及官方 Node tarball 校验 |
| 费用失控 | 忘记 teardown 或 Bedrock 高频调用 | 资源标签化,teardown 脚本支持 `--from-output` 精确清理 |
| 网络隔离失效 | 安全组误配入站规则 | 脚本显式禁止入站,依赖 SSM 会话管理器 |

总体评价:适合原型验证和个人生产环境,企业级部署建议叠加 Auto Scaling、Private Subnet + NAT Gateway、以及 CloudWatch 告警。

OpenClaw AWS Deploy 内容

assets文件夹
agent-defaults文件夹
personalities文件夹
references文件夹
config-templates文件夹
scripts文件夹
手动下载zip · 50.2 kB
AGENTS.mdtext/markdown
请选择文件