Agentic Ventures Wiki

_index

3 Min. Lesezeit

AWS — Verfuegbare Accounts und Setups

Strategische Begruendung in aws-multi-account-strategie. Hier nur Operatives.

AWS Organization

FeldWert
Org-IDo-p197skdqva
Master Account343241684374 (marvinkuehlmann@gmail.com)
FeatureSetALL
SCPsaktiviert, aktuell keine Policy gebunden
OUskeine — alle Accounts direkt unter Root r-2stg
Erstellt2026-05-07
Default Regioneu-central-1
Audit-Trailav-mgmt-trail (Org-Trail, multi-region, Bucket av-cloudtrail-logs-343241684374 im Mgmt)

Accounts

Detail pro Account in accounts. Pro Kunden-Account gibt es eine eigene Datei unter [[-account]] mit Bestand.

AccountIDEmailRolleDetail
marvinkuehlmann (Mgmt)343241684374marvinkuehlmann@gmail.comOrg-Master, Billing, Org-Trail-Bucket, eigene Web-Propertiesaccounts
av-production425924867359aws+av-production@agenticventures.deUG-eigene Workloads, kuenftiger MCP-Hosting-Hubaccounts — av-business-Bucket aktiv
mk-privat210948569534aws+privat@marvinkuehlmann.comMarvin privat, klar getrenntleer
av-becker084400305827aws+av-becker@agenticventures.deBecker BAS-Twin Workloadav-becker

Geplant: av-vibe-factory, av-icking (siehe naechste-schritte).

Identity Center

Detail in identity-center.

FeldWert
Instance ARNarn:aws:sso:::instance/ssoins-69872311d7798796
Identity Stored-996749743e
Start-URLhttps://d-996749743e.awsapps.com/start
Usersmkuehlmann (Marvin), alex-gross (Alex Gross, Becker-PM)
Groupskeine — direct user-assignment
Permission SetsAdministratorAccess (Marvin, alle Accounts), BeckerBasOperator (least-priv, nur Becker-Account)

Cost-Alarme (AWS Budgets)

Alle Budgets im Mgmt-Account angelegt mit LinkedAccount-Filter, Notifications direkt per Email an hello@marvinkuehlmann.com (Absender no-reply@budgets.amazonaws.com — bei Bedarf whitelisten). AWS rechnet primaer in USD; die Schwellen sind USD-Werte mit ~10 % Puffer ueber der EUR-Zielmarke.

Budget-NameFilterLimitNotificationsStatus
becker-monthly-costLinkedAccount 084400305827110 USD/Monat (~100 EUR)80 % / 100 % Actual + 100 % ForecastedHEALTHY
av-production-monthly-costLinkedAccount 425924867359110 USD/Monat80 % / 100 % Actual + 100 % ForecastedHEALTHY
mk-privat-monthly-costLinkedAccount 21094856953425 USD/Monat80 % / 100 % Actual + 100 % ForecastedHEALTHY
monthly-50usd(kein Filter, Org-weit)50 USD/Monat(vor 2026-05-07 angelegt)HEALTHY

Pattern fuer neue Sub-Accounts: pro Account ein Budget mit LinkedAccount-Filter, Schwellen 80 / 100 / 100 (Forecasted), gleicher Email-Empfaenger.

Bedrock-Aktivierung pro Account

AccountEU-Profile aktivNotiz
av-beckerja, breit (Claude 3/4/4.5/4.6/4.7, Llama 3.2, Nova, Pixtral, Cohere Embed)EU + global Profile aktiviert
av-productionja: Cohere Embed v3 multilingual + Cohere Embed v4 (via EU Inference Profile eu.cohere.embed-v4:0), Titan Embed v2, Cohere Rerank 3.5, Amazon Rerank v1aktiviert 2026-05-15 fuer Icking-Inference-Service
Mgmt / mk-privatTBDbei Bedarf aktivieren

Modell-Auswahl-Logik: llm-hosting-eu-optionen. Default-Empfehlung fuer DSGVO-strenge Industriekunden bleibt Mistral La Plateforme — Bedrock kommt zum Einsatz wenn Kunde explizit Claude-Qualitaet braucht und CLOUD-Act-Risiko mit AVV akzeptiert.

Naming-Konvention

PatternBeispielVerwendung
av-<kunde-slug>av-becker, av-vibe-factory, av-ickingKunden-Workload-Account
av-<funktion>av-productionEigene UG-Workloads
mk-<bereich>mk-privatMarvin privat
aws+<account-name>@agenticventures.deaws+av-becker@agenticventures.deEmail-Plus-Alias pro Account (Inbox: aws@agenticventures.de)
aws+<bereich>@marvinkuehlmann.comaws+privat@marvinkuehlmann.comPrivat-Bereich

CLI-Profile (lokal, ~/.aws/config)

Zwei Wege fuer den gleichen Zweck — SSO-Profile sind der Default fuer Daily Use, AssumeRole-Profile als Fallback wenn SSO-Session abgelaufen und nur kurz was gebraucht wird.

ProfilAccountMechanismusPermission Set / RolleDefault?
default343241684374 (Mgmt)IAM-User mkuehlmannfull IAM-Permissions (Org-Admin)source fuer AssumeRole
mgmt343241684374SSO agenticAdministratorAccesspreferred
av-prod425924867359SSO agenticAdministratorAccesspreferred
becker084400305827SSO agenticAdministratorAccesspreferred
mk-priv210948569534SSO agenticAdministratorAccesspreferred
av-production425924867359STS AssumeRoleOrganizationAccountAccessRoleFallback
av-becker084400305827STS AssumeRoleOrganizationAccountAccessRoleFallback
mk-privat210948569534STS AssumeRoleOrganizationAccountAccessRoleFallback
icking063507503859SSO aicking (separate Org!)PowerUserAccessextern

Hinweis: Profil icking zeigt auf einen Account ausserhalb der Agentic-Org — das ist der von Icking selbst betriebene AWS-Account, dort laeuft die AI-Pipeline fuer Smart Dach Next (Mistral-Judge, 5.500 EUR Festpreis). HeyJulia laeuft noch nicht (Vertrag v4 raus, wartet auf Antwort) und wird wenn er kommt bei uns gehostet, nicht im Icking-Account. Davon getrennt steht der geplante av-icking-Sub-Account in unserer Org fuer eventuelle eigene Workloads die wir fuer Icking betreiben.

Naechste Schritte

Tracking in naechste-schritte.

  1. Becker-Hardening: Bedrock-Invocation-Logging, GuardDuty, AVV — siehe offene-punkte
  2. Migration mcp-vf-hosted von Railway auf AWS (Ziel: av-production) — siehe migrations-pfad-aws
  3. MCP-as-a-Service-Vision: alle eigenen MCPs als hosted Services in av-production mit OAuth + Multi-Tenant — separater Brainstorm faellig

Sub-Account-Anlage zurueckgestellt:

  • av-vibe-factory — kein konkreter Workload, mcp-vf-hosted-Migration landet in av-production. Anlegen wenn VF-spezifische Daten/Bedrock-Nutzung kommt
  • av-icking — Icking betreibt eigenen AWS-Account 063507503859 (AI-Pipeline Smart Dach Next), Doppelung lohnt nicht. Anlegen wenn HeyJulia-Vertrag unterschrieben kommt und wir das Hosting bei uns brauchen

6 Dateien in diesem Ordner.