איך העליתי AI Agent לפרודקשן על AWS AgentCore

היום העליתי לפרודקשן את ה-AI Agent הראשון שלי על AgentCore של AWS.

לקחתי אייג’נט מבוסס Claude Agent SDK שבניתי ורץ מקומית עם כלים ואינטגרציה לגוגל שלי, והעליתי אותו לענן - יחד עם כל הפונקציונליות שכבר הייתה לו.

התהליך

היה לי כבר חשבון ב-AWS שמעולם לא השתמשתי בו. שאלתי את קלוד מה אני צריכה לעשות כדי שהוא יעזור לי להטמיע את האייג’נט?

הוא הנחה אותי צעד צעד: ליצור IAM user, access key, להתקין AWS CLI, להגדיר ולאמת את התשתית.

הפעלתי את קלוד קוד ואמרתי לו שאני רוצה להעלות את האייג’נט לענן. הוא קרא ולמד מה שצריך, נשאר להגדיר מפתח API של אנתרופיק, ויצא לדרך.

הוא עבד כמה דקות, בדק שעובד והודיע לי שאנחנו באוויר!

ניסיתי בעצמי וראיתי שעובד אבל לא הצלחתי להשתמש בחיבור לגוגל. צריך להגדיר אותו בנפרד, ברור שלא ויתרתי, plan mode ומטפלים גם בזה. (תודה לגוגל שדואגים לסבך הכול)

השלב האחרון: ממשק Streamlit זריז שדרכו אני מדברת עם האייג’נט.

התוצאה: מאייג’נט מקומי לפרודקשן תוך פחות משעה - עוזר AI אישי שקורא ושולח מיילים, מעדכן יומן, עובד בדרייב, מסכם סרטוני יוטיוב - הכל רץ serverless על AWS.

השילוב בין Claude Agent SDK ל-AgentCore

אחד הדברים שעוזרים לי ללמוד ולהטמיע דברים חדשים זה לכתוב ולהסביר לעצמי.

Claude Agent SDK זה פריימוורק לבניית אייג’נט - נותן Agent loop, tools, context management.

AgentCore זה תשתית ל-deploy של אייג’נט. נותן:

• Observability: מה האייג’נט עושה כל צעד והחלטה. ל-SDK יש Observability בסיסי (logging, callbacks) אבל AgentCore מוסיף CloudWatch traces מלאים.
• Gateway: נקודת כניסה לאייג’נט (API endpoint)
• Identity: ניהול זהויות והרשאות
• Memory: זיכרון טווח קצר וארוך
• Runtime: הסביבה שמריצה את האייג’נט בענן

מה צריך כדי להשתמש ב-AgentCore?

להגדיר AWS Credentials: AWS Access Key ID, AWS Secret Access Key, Region (למשל us-east-1).

להתקין AgentCore CLI ו-AWS CLI לאימות. API key של אנתרופיק או של AWS.

איך משיגים Credentials?

נכנסים ל-AWS Console, לוחצים על השם בפינה ימנית עליונה → Security credentials, גוללים ל-”Access keys” → Create access key. בוחרים “Command Line Interface (CLI)” → מאשרים → Create. מעתיקים ושומרים.

חשוב: Access Key לא מומלץ ליצור ל-root user כי יש לו הרשאות בלתי מוגבלות.

מה לעשות במקום? IAM user נפרד: ל-IAM בקונסול, Users → Create user. שם, הרשאות: “Attach policies directly”, לסמן AdministratorAccess (לפיתוח זה בסדר, בפרודקשן לצמצם). Next → Create user.

Access keys ל-IAM user: ללחוץ על ה-user שיצרתי, Security credentials → Create access key, Command Line Interface (CLI), לקבל keys.

• Root user - גישה מלאה לכל דבר כולל billing ומחיקת החשבון
• IAM user - אפשר להגביל הרשאות, לבטל בקלות אם נחשף

התקנה ואימות

אחרי שהתקנתי AWS CLI להריץ בטרמינל:

aws configure

להזין את המפתחות, Default region name, Default output format (json).

לאמת:

aws sts get-caller-identity

לראות את הפרטים שלי בתשובה.

קבצי ה-Deploy

מתיקיית הפרויקט המקומית, להתקין AgentCore. מכאן קלוד קוד יצר את הקבצים הדרושים:

• agentcore_entry.py: נקודת הכניסה, הקובץ ש-AgentCore מריץ לקרוא לאייג’נט
• .bedrock_agentcore.yaml: קונפיגורציה ל-deploy - שם האייג’נט, region, הגדרות runtime
• policy.json: הרשאות IAM - מה האייג’נט מורשה לעשות ב-AWS
• .dockerignore, requirements.txt, uv.lock

ובסוף רגע האמת:

agentcore deploy

מה השתמשתי מ-AgentCore

• Runtime, AgentCore Memory
• CodeBuild Integration - בנייה אוטומטית של ARM64 container בענן - לא צריך Docker מקומי
• Observability: GenAI Dashboard, CloudWatch Logs (כל ה-prints וה-errors), X-Ray traces (מעקב אחרי כל בקשה - מה קרה, כמה זמן לקח, איפה נתקע)
• IAM Auto-Setup - כל ההרשאות של האייג’נט: Execution Role ל-runtime, CodeBuild Role לבנייה, ECR Repository ל-images
• Secrets Manager Integration - חיבור של ANTHROPIC_API_KEY מ-Secrets Manager ל-runtime

אפשרויות נוספות שלא השתמשתי: Gateway (להפוך APIs ל-tools), Evaluations (בדיקות אוטומטיות ל-agent), Identity (כשיש כמה משתמשים).