>_cd /blog/id_v0dz9baxe

development technology
- #OpenClaw
- #AI
Date2026-03-17
Time09:45:32 JST

title

Amazon Lightsail OpenClaw インスタンスを試してみた

今日は新しくリリースされた Amazon Lightsail 用 OpenClaw イメージの初期設定手順を纏めます。

Amazon Lightsail

AWS（Amazon Web Services）が提供するシンプルで低コストな仮想プライベートサーバー（VPS）サービスです。

通常のAWSサービスは柔軟性が高い反面、設定が複雑で料金体系もわかりにくいという側面があります。Lightsail はそうした複雑さを取り除き、サーバー・ストレージ・データ転送・静的IPアドレス・DNS管理といった必要な機能をすべてセットにした月額固定料金で提供しています。

料金は月額$3.5（Linux/Unix）から始まり、予算が立てやすいのが大きな特徴です。WordPressなどのアプリを数クリックで立ち上げられるテンプレートも豊富に用意されており、クラウド初心者でも手軽に始められます。将来的にスペックが足りなくなった場合は、Amazon EC2への移行ウィザードも用意されているため、成長に合わせた拡張も可能です。

OpenClaw とは

自分のデバイス上で動かすオープンソースのパーソナルAIアシスタントです。開発者の Peter Steinberger（@steipete）氏によって開発され、2025年に公開されました。

通常のAIアシスタントはクラウド上にデータが保存されますが、OpenClaw はデータを自分のコンピューターに保持したまま動作するため、プライバシーを重視するユーザーにも安心して使える設計となっています。

最大の特徴は、LINE・Discord・Slack・iMessageなど、すでに使い慣れたメッセージアプリ上でそのままAIアシスタントとして利用できる点です。新しいアプリを覚える必要がなく、普段のチャットの延長線上でAIを活用できます。また、24時間365日稼働し続け、リマインダーや定期タスク（cronジョブ）などをバックグラウンドで自律的に実行できるのも大きな強みとなっています。

GitHubでソースコードが公開されており、コミュニティによるスキルの追加・拡張も活発に行われています。

Amazon Lighsail OpenClaw イメージ

2026年3月4日、AWSは Amazon Lightsail で OpenClaw の一般提供開始を発表しました。これにより、LightsailのコンソールからOpenClawインスタンスを数クリックで起動できるようになり、AIアシスタントをより手軽かつセキュアに運用できる環境が整いました。

Lightsail上のOpenClawインスタンスにはAmazon Bedrock Anthropic Claude 4.6 がデフォルトのAIモデルプロバイダーとして事前設定されており、セットアップ完了後すぐにチャットを開始できます。また、メッセージングアプリとの連携も可能で、スマートフォンから直接AIアシスタントとやり取りできます。

セットアップスクリプトがAmazon BedrockへのアクセスのためのIAMロールを自動作成するため複雑な設定作業が不要になっています。

ブラウザとペアリング

OpenClawを使い始めるには、まずブラウザとOpenClawインスタンスをペアリングする必要があります。このペアリングは、ブラウザセッションとOpenClaw間にセキュアな接続を確立するための重要なステップです。技術的にはWebSocketプロトコル（WSS）を使用した暗号化通信で接続されており、Gateway Tokenと呼ばれる認証トークンによってアクセスが制御されています。このトークンはパスワードと同等の役割を持つため、定期的なローテーションと安全な保管が推奨されています。また、OpenClawのゲートウェイはオープンインターネットに直接公開しないことが推奨されており、プライベートネットワーク経由での運用がセキュリティ面でより安全です。

ペアリングはLightsailコンソールの「Getting started」タブからSSH接続を使って行います。SSHターミナルを起動するとウェルカムメッセージにダッシュボードのURLとアクセストークンが表示されるので、それを新しいブラウザタブで開いたダッシュボードの「Gateway Token」フィールドに貼り付けます。その後SSHターミナル上で承認操作を行うだけで、ダッシュボードに「OK」ステータスが表示され接続が完了します。

一度ペアリングが完了すれば、以降はブラウザからOpenClawのダッシュボードに直接アクセスでき、すぐにAIアシスタントとの会話を始めることができます。

さっそくやってみる

では早速設定を行っていきます。

Lightsail のコンソールはAWSコンソールとは別に存在しています。いつものAWSコンソールからLightsailをクリックすると以下の画面に移動します。

Create instanceをクリックします。

OpenClaw イメージを選択します。

インスタンスサイズを選択します。小さい無償の物は少しメモリが足りないようで以下の注意が出ますのでもう一つ大きいインスタンスを選択します。

起動するまでしばらく待ちます。

起動したらこのボタンを押すとターミナルが開きます。

  Lightsail OpenClaw MOTD v1.0.0  (Ctrl+C to exit at any time)
+----------------------------------------------------------------+
|                   OpenClaw Dashboard Access                    |
+----------------------------------------------------------------+

  Dashboard URL:
     https://13.231.yyy.xxx/overview

  Access Token:
     STjetwV5MXfJLTQDiO5Rsir1123456

  Current Model:
     bedrock/global.anthropic.claude-sonnet-4-6

------------------------------------------------------------------

  Device Pairing

  1. Open the Dashboard URL in your browser:
     https://13.231.yyy.xxx/overview

  2. Enter your Access Token in the Gateway Token text box and press Connect:
     STjetwV5MXfJLTQDiO5Rsir16123456

  3. Once you see a device pairing required message, continue to next step below

この画面を開いたままブラウザの別タブで Dashboard URL にアクセスすると以下の画面が表示されます。　

Gateway Token にターミナルに表示されている Access Token を入力します。

ターミナルで　y を入力します。

 Continue with device pairing? (y = pair now, n = skip): y

次のstepで a を入力します。

Pending device request: 15170026-8171-4657-8759-786cbeb1d514
Action? (a=approve, r=reject, s=skip all): a

OpenClaw 側のステータスが OK となりペアリングが完了します。

ターミナルに戻り2回連続で n を入力すれば設定完了です。

次にLightsailの設定詳細画面 Getting started タブをクリックします。

以下のスクリプトをコピーします。

Cloudshellで以下を実行します。

curl -s https://d25b4yjpexuuj4.cloudfront.net/scripts/lightsail/setup-lightsail-openclaw-bedrock-role.sh | bash -s -- OpenClaw-1 ap-northeast-1

+--------------------------------------------------------------+
|              OpenClaw Bedrock Role Setup                     |
+--------------------------------------------------------------+

What this script does:
  Creates an IAM role in your AWS account so your OpenClaw
  Lightsail instance can call Amazon Bedrock (AI models) on
  your behalf.

  Cost notice:
  Bedrock charges per token (input + output) for every AI request.
  You only pay when the AI is actively processing — there is no
  flat fee. Monitor usage in AWS Cost Explorer > Bedrock.
  Pricing: https://aws.amazon.com/bedrock/pricing/

  Security:
  The role is scoped to your specific Lightsail instance only.
  No other AWS principal can assume it. Deleting the role
  immediately revokes Bedrock access for OpenClaw.

  Required permissions in this account:
  iam:CreateRole, iam:PutRolePolicy, iam:UpdateAssumeRolePolicy,
  iam:GetRole, lightsail:GetInstance, sts:GetCallerIdentity

  Re-running this script on an existing role is safe.
  It only updates trust policy and permissions — nothing is deleted.

----------------------------------------------------------------

Region:   ap-northeast-1

Fetching Lightsail instance info for: OpenClaw-1
Instance ID: i-00785d243d716a241
Role name:   LightsailRoleFor-i-00785d243d716a241
Creating role...
{
    "Role": {
        "Path": "/",
        "RoleName": "LightsailRoleFor-i-00785d243d716a241",
        "RoleId": "AROA5LIXG4WVKNMP52OKV",
        "Arn": "arn:aws:iam::917561075114:role/LightsailRoleFor-i-00785d243d716a241",
        "CreateDate": "2026-03-15T06:40:09+00:00",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Principal": {
                        "AWS": "arn:aws:sts::925790504507:assumed-role/AmazonLightsailInstance/i-00785d243d716a241"
                    },
                    "Action": "sts:AssumeRole"
                }
            ]
        }
    }
}
Attaching Bedrock permissions...

Done.
Role ARN: arn:aws:iam::917561075114:role/LightsailRoleFor-i-00785d243d716a241

スクリプトが行う処理は大きく3つです。まずLightsailインスタンスのIDを取得し、そのIDに紐づくIAMロールを自動作成します。次に、そのIAMロールにAmazon Bedrockへのアクセス権限（AIモデルの呼び出しや利用可能なモデルの一覧取得など）をアタッチします。最後に、LightsailインスタンスだけがそのIAMロールを引き受けられるよう、信頼ポリシーを設定します。

セキュリティ面では、作成されるIAMロールは特定のLightsailインスタンスのみに限定されており、他のAWSリソースへのアクセス権限は一切含まれていません。また、ロールを削除するだけでBedrockへのアクセスを即座に無効化できる設計になっています。なお、スクリプトは冪等性（べきとうせい）を持っており、同じスクリプトを複数回実行しても既存の設定を壊すことなく安全に再実行できます。

セットアップ時に見慣れないAWSアカウントID「925790504507」が登場しています。これは自分のAWSアカウントとは別のIDであるため、最初は不審に思うかもしれませんが、AWSが内部的に管理するマネージドアカウントであり、正常な動作です。

Lightsailのインスタンスは裏側ではEC2として動作しており、AWSはそのインスタンスに対してこの内部マネージドアカウントを通じてIAMロールを付与する仕組みになっています。つまり「925790504507」はAWSのインフラ側が使用するアカウントであり、LightsailインスタンスがBedrockにアクセスする際にこのアカウントを経由してIAMロールを引き受ける（AssumeRole）動作が発生します。

設定が完了したらChatでBedrockとの接続をテストします。