Desplegar OpenClaw en AWS Lightsail sin sufrir 😎

Si deseas desplegar OpenClaw en AWS Lightsail de manera simple, sencilla, repetible y sin pelear con pasos manuales, una buena opción es usar AWS CDK + Python + uv.

En este tutorial te muestro cómo levantar toda la infraestructura con Infrastructure as Code.

🦀 OpenClaw + AWS Lightsail + IaC

¿Por qué automatizar esto?

Porque hacerlo a mano una vez está bien, pero repetirlo muchas veces es "pesado".

Con IaC (Infrastructure as Code) ganas:

• Menos errores humanos
• Despliegues consistentes
• Repetibilidad total (crear y destruir cuando quieras)
• Más velocidad para tu equipo
• Todo versionado en Git

¿Que crea este stack o proyecto?

Tu infraestructura en Lightsail con:

• Instancia OpenClaw (openclaw_ls_1_0)
• Puertos públicos 22, 80, 443
• IP estática pública de Lightsail
• Snapshots opcionales
• Automatización de rol IAM para Bedrock
• Asociación/desasociación automática de la IP estática pública durante el ciclo de vida del stack

Pre requisitos rápidos

Necesitas tener instalado:

• Python 3.11+
• uv (Gestor de paquetes y proyectos)
• Node.js 22 LTS
• AWS CLI v2
• AWS CDK CLI (npm i -g aws-cdk)

0) Clona el repositorio

Clonar el repositorio de github del proyecto aws-cdk-lightsail-openclaw

git clone https://github.com/r3xakead0/aws-cdk-lightsail-openclaw.git
cd aws-cdk-lightsail-openclaw

1) Prepara el entorno local

Antes de sintetizar o desplegar el stack, prepara tu entorno local instalando las dependencias del proyecto y validando que tus credenciales de AWS estén configuradas correctamente.

Verifica las versiones instaladas

python --version
uv --version
node --version
aws --version
cdk --version

Asegúrate de tener:

• Python 3.11+
• uv instalado
• Node.js 22 LTS
• AWS CLI v2
• AWS CDK CLI

Instala las dependencias del proyecto

Desde la raíz del repositorio, ejecuta:

uv sync

Configura tus credenciales de AWS

Si todavía no tienes credenciales configuradas, ejecuta:

aws configure

Ingresa tu:

• AWS Access Key ID
• AWS Secret Access Key
• Default region, por ejemplo us-east-1
• Default output format, por ejemplo json

Si usas perfiles de AWS, puedes exportar el perfil antes de continuar:

macOS/Linux

export AWS_PROFILE=<TU_PROFILE>

Windows PowerShell

$env:AWS_PROFILE="<TU_PROFILE>"

Valida el acceso a AWS

aws sts get-caller-identity

Deberías ver una salida similar a:

{
  "UserId": "...",
  "Account": "123456789012",
  "Arn": "arn:aws:iam::123456789012:user/your-user"
}

2) Revisa el archivo de configuración

Archivo: config/dev.json

Asegúrate de validar estos campos:

• account
• región (ej. us-east-1)
• availability_zone (ej. us-east-1a)
• key_pair_name (ej. openclaw-dev-key)
• ssh_cidr
• enable_auto_snapshot (false por defecto)

3) Crea/importa el key pair en Lightsail

Importante: tiene que ser de Lightsail (no EC2) y en la misma region especificada en el archivo de configuración.

macOS/Linux

Genera la clave:

ssh-keygen -t rsa -b 4096 -m PEM -f ~/.ssh/openclaw-dev-key -C "openclaw-lightsail"
chmod 600 ~/.ssh/openclaw-dev-key
chmod 644 ~/.ssh/openclaw-dev-key.pub

Impórtala:

aws lightsail import-key-pair \
  --key-pair-name openclaw-dev-key \
  --public-key-base64 "$(cat ~/.ssh/openclaw-dev-key.pub)" \
  --region us-east-1

Valídala:

aws lightsail get-key-pairs \
  --region us-east-1 \
  --query "keyPairs[?name=='openclaw-dev-key'].name" \
  --output table

Windows PowerShell

Genera la clave:

ssh-keygen -t rsa -b 4096 -m PEM -f "$HOME\.ssh\openclaw-dev-key" -C "openclaw-lightsail"

Impórtala:

$pub = Get-Content "$HOME\.ssh\openclaw-dev-key.pub" -Raw
aws lightsail import-key-pair `
  --key-pair-name openclaw-dev-key `
  --public-key-base64 $pub `
  --region us-east-1

Valídala:

aws lightsail get-key-pairs --region us-east-1 --query "keyPairs[?name=='openclaw-dev-key'].name" --output table

4) Bootstrap (solo una vez por cuenta/region)

Linux/macOS

./scripts/linux-mac/dev/bootstrap <ACCOUNT_ID> <REGION>

Windows PowerShell

.\scripts\windows\dev\bootstrap.ps1 -AccountId <ACCOUNT_ID> -Region <REGION>

5) Synth + Diff (para revisar antes de desplegar)

Linux/macOS

./scripts/linux-mac/dev/synth
./scripts/linux-mac/dev/diff

Windows PowerShell

.\scripts\windows\dev\synth.ps1
.\scripts\windows\dev\diff.ps1

6) Deploy

Linux/macOS

./scripts/linux-mac/dev/deploy

Windows PowerShell

.\scripts\windows\dev\deploy.ps1

Cuando termine, verás outputs como:

• InstanceName
• StaticIpName
• PublicIp
• BedrockRoleArn

7) Verifica que todo este vivo

Conéctate por SSH:

Linux/macOS

ssh -i ~/.ssh/openclaw-dev-key ubuntu@<PUBLIC_IP>

Windows PowerShell

ssh -i "$HOME\.ssh\openclaw-dev-key" ubuntu@<PUBLIC_IP>

Chequeo rápido:

• abre http://<PUBLIC_IP>
• revisa la instancia en consola de Lightsail
• confirma que el rol de Bedrock existe en IAM

8) Destroy cuando termines (para no gastar de mas)

Linux/macOS

./scripts/linux-mac/dev/destroy

Windows PowerShell

.\scripts\windows\dev\destroy.ps1

Solución de problemas

The KeyPair does not exist

• El key pair no esta en Lightsail, esta en otra region o es de EC2.
• Solución: crealo/importalo en Lightsail y en la region correcta.

Stack en ROLLBACK_COMPLETE

• Borra el stack fallido y vuelve a desplegar.

Warning de Node en CDK

• Ejecuta nvm use para usar Node 22 LTS.

Conclusión

La idea no es solo desplegar una instancia, sino dejar el proceso listo para repetirse sin depender de pasos manuales ni configuraciones perdidas.