本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
开始使用 Lights OpenClaw ail
OpenClaw 是一款基于人工智能的聊天网关,在 Amazon Lightsail 上运行,为你提供了一个私有的、自托管的人工智能助手,可通过浏览器 WhatsApp、Telegram 等进行访问。本教程将引导您启动 Amazon Lightsail OpenClaw 实例、配对浏览器、启用 AI 功能以及可选地连接消息渠道。
你知道吗?
你的 Lightsail OpenClaw 实例已预先配置了 Amazon Bedrock 作为默认 AI 模型提供商。完成设置后,您可以立即开始与 AI 助手聊天,无需进行其他配置。
步骤 1:创建实 OpenClaw 例
在此步骤中,您将创建一个正在运行的 Lightsail 实例。 OpenClaw
使用创建 Lightsail 实例 OpenClaw
-
登录 Lightsail 控制台
。 -
在 Lightsail 主页的实例部分,选择创建实例。
-
为您的实例选择 AWS 区域和可用区。
-
为您的实例选择映像,如下所示:
-
在 “选择平台” 下,选择 Linux/Unix。
-
在 “选择蓝图” 下,选择OpenClaw。
-
-
在选择您的实例计划下,选择一个实例计划(建议使用 4 GB 内存计划以获得最佳性能)。
-
为您的实例输入名称,或使用提供的默认名称。
注意
实例名称在您的 Lightsail 账户中必须是唯一的,2 到 255 个字符,以字母数字字符开头和结尾,并且仅包含字母数字字符、句点、破折号或下划线。
-
选择创建实例。
在启动时,您的实例将在几分钟内处于启动状态。等到状态显示为 “正在运行” 后再继续下一步。
第 2 步:将您的浏览器与 OpenClaw
在使用 OpenClaw 控制面板之前,您需要将浏览器与之配对 OpenClaw。这会在您的浏览器会话和之间建立安全连接 OpenClaw。
提示
在用于访问 OpenClaw 仪表板的同一台设备上准备好浏览器。在此步骤中,您将从 Lightsail 中复制令牌,并将其粘贴到 OpenClaw 控制面板中。
如果您停止并启动实例,则 OpenClaw 实例的默认公有 IP 地址会发生变化。当您向实例附加静态 IP 地址时,即使您停止和启动实例,该 IP 地址也会保持不变。有关更多信息,请参阅查看和管理 Lightsail 资源的 IP 地址。
将您的浏览器与之配对 OpenClaw
-
在 Lightsail 控制台的 “实例” 部分,选择您的 OpenClaw 实例名称以打开实例管理页面。
-
在 “入门” 选项卡的 “将浏览器配对” 下 OpenClaw,选择 “使用 SSH 连接”。将打开基于浏览器的 SSH 终端。
你知道吗?
在您的 OpenClaw 实例上运行的每日消息 (MOTD) 服务管理多项自动配置任务,包括来源检测、证书管理和令牌轮换。您可以通过 SSH 连接到您的实例来检查您的 MOTD 版本。
您的 OpenClaw 实例会自动将网关配置为接受来自实例 IP 地址的连接。MOTD 版本 2.0.0 包含在实例启动期间运行的自动源检测功能,并将允许的来源配置为实例的当前 IP 地址。当您将静态 IP 地址附加到实例时,系统会自动更新允许的来源,改为使用静态 IP 地址。
-
在 SSH 终端中,找到欢迎消息中显示的控制面板 URL。复制此 URL 并在新的浏览器选项卡中将其打开。
-
在打开的 OpenClaw 控制面板中,找到 “网关令牌” 字段。
-
返回 SSH 终端,复制显示的访问令牌。
-
将复制的访问令牌粘贴到 OpenClaw 控制面板的 “网关令牌” 字段,然后单击 Connect。
-
返回 SSH 终端。出现提示时,按下
y继续设备配对。 -
按下
a可批准设备配对请求。
配对完成后, OpenClaw 控制面板中的状态将显示正常。您的浏览器现已连接到您的 OpenClaw 实例。
提示
如果您稍后需要配对其他浏览器,只需再次通过 SSH 连接到您的实例,然后重复上述配对步骤即可。
第 3 步:使用 Amazon Bedrock 启用人工智能功能
你的 Lightsail OpenClaw 实例已配置为使用 Amazon Bedrock 为其 AI 助手提供动力。在此步骤中,您将向您的实例授予调用 Bedrock API 所需的权限。
启用 Bedrock API 访问权限
-
在您的 OpenClaw 实例管理页面上,选择入门选项卡。
-
在 “启用 Amazon Bedrock 作为您的模型提供商” 下,单击 “复制脚本” 按钮。然后单击 “启动 CloudShell” 按钮打开 CloudShell。
安装脚本有什么作用?
安装脚本执行以下操作:专门为您的 OpenClaw 实例创建 IAM 角色,附加授予对 Amazon Bedrock 访问权限的策略 APIs,附加授予 AWS Marketplace 权限(第三方模型所需)的策略,并将实例配置文件配置为使用此角色。运行脚本后,您可以在 IA M 控制台
中查看 IAM 策略的详细信息。IAM 角色将被命名 LightsailRoleFor-[your-instance-id]。
-
将复制的命令粘贴到 CloudShell 终端中,然后按Enter。
-
等待脚本完成。当您在输出中看到 “完成” 时,表示权限已成功应用。
完成此步骤后,导航到 OpenClaw控制面板中的 “聊天”,开始使用你的 AI 助手。
注意:默认情况下,你的 Lightsail OpenClaw 实例使用 Anthropic Claude Sonnet 4.6。如果这是您首次在 Amazon Bedrock 中使用 Anthropic 模型,则需要填写首次使用 (FTU) 表格才能获得访问权限。详细了解如何访问 Anthropic 模型。
步骤 4:连接消息渠道(可选)
你可以扩展 OpenClaw 到使用 Telegram 等消息传递应用程序 WhatsApp,这样你就可以直接通过手机或消息客户端与 AI 助手进行交互。在 OpenClaw 连接到消息渠道之前,您需要将浏览器与之配对 OpenClaw (参见步骤 2)。
Connect 电报
添加电报频道
-
打开电报并搜索
@BotFather。 -
发送命令
/newbot并按照提示创建新的机器人。 BotFather 将为您的机器人提供机器人令牌和深度链接。
-
使用 SSH 连接到您的 OpenClaw 实例。将打开基于浏览器的 SSH 终端。
-
在连接到您的 OpenClaw 实例的 SSH 终端中,运行:
openclaw channels add -
从可用频道列表中选择电报。
-
出现提示时,输入您在步骤 2 BotFather 中收到的机器人令牌。
-
在 OpenClaw 控制面板中,导航至 “频道” 部分,然后将您的电报用户 ID 添加到允许列表中。
-
在步骤 2 中,在 Telegram 中向你的机器人发送一条消息,测试集成。
-
您将在Telegram中看到一条批准 OpenClaw 配对的消息。在 SSH 终端中,运行:
openclaw pairing approve telegram [pairing code]
-
向您在步骤 2 中在 Telegram 中创建的机器人发送消息,再次测试集成
Connect WhatsApp
添加 WhatsApp 频道
-
使用 SSH 连接到您的 OpenClaw 实例。将打开基于浏览器的 SSH 终端。
-
在连接到您的 OpenClaw 实例的 SSH 终端中,运行:
openclaw channels add -
WhatsApp从可用频道列表中选择。
-
按照屏幕上的说明进行操作。终端中将显示一个二维码。
-
在手机上 WhatsApp,打开并使用关联设备功能扫描 QR 码。
-
在手机上完成配对。
-
WhatsApp 通过将您在上述步骤中配对的联系电话直接发送消息给您的 OpenClaw 助手来测试集成。
步骤 5:为您的实例创建快照(可选)
完成设置后,我们建议您创建 OpenClaw 实例的快照。快照是一种 point-in-time备份,可让您从已知状态恢复实例,从而提供可靠的恢复机制。您还可以从快照中创建所需计划的新实例。
创建手动快照
-
在 Lightsail 控制台的 “实例” 部分,选择您的 OpenClaw 实例名称。
-
选择 Snapshots(快照)选项卡。
-
在手动快照下,选择创建快照。
-
输入快照的名称,然后选择 “创建”。
你知道吗?
Lightsail 存储七张每日快照,当您为实例启用自动快照时,会自动将最旧的快照替换为最新的快照。有关更多信息,请参阅为 Lightsail 实例和磁盘配置自动快照。
常见问题 (FAQ)
如何将其他浏览器与我的 OpenClaw 实例配对?
您可以根据需要配对任意数量的浏览器。要将新浏览器配对,请再次通过 SSH 连接到您的 OpenClaw 实例(在 Lightsail 控制台的实例管理页面中,选择使用 SSH 连接)。按照步骤 2 中的相同配对步骤进行操作:导航到控制面板 URL,从终端复制访问令牌,将其粘贴到新浏览器 OpenClaw 仪表板的 Gateway Token 字段中,然后批准配对请求。
我能否自定义授予我的 OpenClaw 实例的 IAM 权限?
可以。步骤 3 中的设置脚本创建了一个 IAM 角色,其策略允许访问 Amazon Bedrock。您可以随时查看、编辑或限制此政策:
-
打开 IAM 控制台
并导航到角色。 -
查找为您的 OpenClaw 实例创建的角色,例如
LightsailRoleFor-i-0d15d5483571b95bb -
选择角色以查看其附加的策略。
-
选择策略名称以编辑其权限。
修改权限时要小心——删除所需的 Bedrock 权限将 OpenClaw 阻止生成 AI 响应。有关更多信息,请参阅 AWS 文档中的 IAM 政策。
我能 OpenClaw 问一些关于自己的问题吗?比如它能做什么或者如何使用它?
是的, OpenClaw的内置聊天助手可以回答有关 OpenClaw 自身的问题。如果您不确定 OpenClaw 能做什么,只需直接在聊天界面中提问即可。例如,您可以键入:
-
“你能帮我什么?”
-
“我可以连接到哪些频道 OpenClaw?”
-
“如何添加新的消息渠道?”
OpenClaw 将根据其能力提供指导。这是无需离开 OpenClaw 仪表板即可浏览功能的好方法。
注意:您需要完成 “使用 Amazon Bedrock 启用 AI 功能” 步骤(入门指南中的步骤 3),要么配置自己的模型提供者才能进行聊天。Bedrock 设置包括从实例的 “入门” 选项卡中运行一键式脚本以授予必要的权限,以及(如果您是第一次使用 Anthropic 模型)在 Amazon Bedrock 控制台中提交一份简短的 “首次使用” 表单。如果不执行此步骤,聊天界面将没有可供连接的 AI 模型。
OpenClaw 在 Lightsail 上运行要花多少钱?
以下是费用明细:
-
Lightsail 实例 — 您需要为所选的实例套餐(例如 4 GB 套餐)付费。Lightsail 套餐按按需小时费率计费,因此您只需为实际用量付费。对于您使用的每个 Lightsail 套餐,我们都会向您收取固定的小时价格,最高不超过每月套餐的最高费用。
-
AI 模型使用情况(代币)— 向 OpenClaw 助手发送和接收的每条消息都使用基于令牌的定价模型通过 Amazon Bedrock 进行处理。成本因型号而异,有些型号的每枚代币比其他型号更昂贵。
-
第三方模型订阅 — 如果您选择通过AWS Marketplace分发的第三方模型(例如Anthropic Claude或Cohere),则除了每个代币的成本外,还可能还需要支付额外的软件费用。在您的账单中,它们作为单独的细列项目显示在 AWS Marketplace 下。
-
数据传输超额 — 每个 Lightsail 计划都包含每月的数据传输限额。如果您的 OpenClaw 实例发送或接收的数据超过套餐包含的数据,则数据传输将收取超额费用。
-
快照 — Lightsail 实例的手动和自动快照根据使用的存储量计费。
我想用 Anthropic 模型。我还需要做些什么吗?
除了标准权限之外,Anthropic 还有一个额外要求:在首次调用 Anthropic 模型之前,您必须填写首次使用 (FTU) 表格。这是 Anthropic 的要求,每个 AWS 账户只适用一次,或者在 AWS 组织的管理账户级别适用一次,然后由组织中的所有成员账户继承。您的 OpenClaw 实例默认使用 Anthropic Claude-Sonnet 4.6。
作为步骤 3 中设置的一部分,Lightsail 会为您处理底层 IAM 和 Marketplace 权限。该 CloudShell 脚本创建了一个 IAM 角色,其中包含三个必需的 AWS Marketplace 权限(aws-marketplace:Subscribeaws-marketplace:Unsubscribe、和aws-marketplace:ViewSubscriptions)。Amazon Bedrock 需要这些模型才能在首次调用第三方模型时自动启用它们。在您的账户中启用模型后,该账户中的所有用户都可以调用该模型,而无需自己获得 Marketplace 权限——订阅只需要进行一次。
要完成 Anthropic 特定的 FTU 要求,请执行以下操作:
-
导航到模型目录并选择一个 Anthropic 模型(例如 Claude)。
-
系统将提示您提交用例详细信息。填写并提交表格。
成功提交表格后,将立即授予对 Anthropic 模型的访问权限。完成后,你可以在 OpenClaw 仪表板中选择任何 Anthropic 模型并立即开始使用。
注意
来自亚马逊、Meta、Mita、Mistral AI和Qwen的模型不通过AWS Marketplace出售,因此不需要执行此步骤。 DeepSeek
有关更多信息,请参阅《亚马逊 Bedrock 用户指南》中的 Amazon Bedrock 基础模型。
HTTPS 如何与我的 OpenClaw 实例配合使用?
您的 OpenClaw 实例带有由 Let's Encrypt 证书保护的内置 HTTPS 终端节点。创建实例后,系统会自动为您的实例 IPv4 地址颁发 Let's Encrypt 证书,无需手动设置。
如果我的实例的 IP 地址发生变化,我的 SSL 证书会怎样?
您的 OpenClaw 实例包括一个内置的证书管理守护程序 (lightsail-manage-certd),用于监控您的实例的 IP 地址。如果 IP 地址发生变化(例如,当您附加或分离静态 IP 时),守护程序会自动检测到更改,并为新 IP 地址颁发新的 Let's Encrypt 证书。您的 SSL 证书无需手动操作。
注意:网关访问令牌将保持不变,但您需要按照步骤 2:将浏览器配对中的步骤重新配对浏览器 OpenClaw
我的 SSL 证书多久续订一次?
Let's Encrypt 为您的 OpenClaw 实例颁发的证书有效期为 7 天。证书管理守护程序会在证书到期前 2 天自动续订您的证书,因此您的实例将保持安全,无需任何中断或手动干预。
我可以在上面安装插件 OpenClaw吗?
是的。 OpenClaw 支持插件安装,某些插件或配置更改可能需要您手动重启 OpenClaw 网关服务才能使更改生效。
要在安装插件或更新配置后管理网关,请通过 SSH 连接到您的 OpenClaw 实例并使用以下命令:
-
停止网 OpenClaw 关服务:
openclaw gateway stop -
启动网 OpenClaw 关服务:
openclaw gateway start -
检查服务的当前状态:
openclaw gateway status
注意:如果您使用的是 MOTD 1.0.0 (OpenClaw 2026.2.17),请改用以下命令:
-
停止网 OpenClaw 关服务:
sudo systemctl stop openclaw-gateway -
启动网 OpenClaw 关服务:
sudo systemctl start openclaw-gateway -
检查服务的当前状态:
sudo systemctl status openclaw-gateway
如果我的网关令牌被盗会怎样?
如果令牌曾经被泄露(例如,在日志中泄露、意外共享或通过提示注入攻击暴露),则任何拥有该令牌的人都可以访问您的 OpenClaw 网关,直到您手动重新生成它。
我的网关令牌会自动轮换吗?
可以。它每天在世界标准时间 3:00 自动轮换。这种轮换需要您将浏览器与 OpenClaw 实例重新配对。
如何手动轮换我的网关令牌?
要轮换网关令牌,请执行以下操作:
-
通过 Lightsail 控制台通过 SSH 连接到您的 OpenClaw 实例。
-
运行以下命令以重新生成令牌:
openclaw token rotate -
旧令牌立即失效。当前与旧令牌配对的所有浏览器或客户端都将断开连接。
-
按照步骤 2:将浏览器与 OpenClaw之配对中的步骤,使用新令牌重新配对浏览器。
提示
轮换令牌后,请检查所有可信设备是否已重新配对,然后才能恢复使用。
自动代币轮换是如何运作的?
MOTD 2.0.0 包括自动令牌轮换,通过每天轮换网关访问令牌来增强安全性。
重要含义:
-
当令牌自动轮换时,所有已配对的浏览器和设备都将断开连接。
-
您需要按照步骤 2:将浏览器与 OpenClaw之配对中的步骤重新配对浏览器。
如果您不想轮换令牌,则可以通过更改安全设置在 MOTD 中将其禁用。
如何轮换我的消息渠道凭证(Telegram、 WhatsApp、Slack)?
如果存储在您的 OpenClaw 实例上的消息平台令牌或凭证(例如您的 Telegram 机器人令牌、 WhatsApp 会话凭证或 Slack 令牌)遭到泄露,则应立即轮换该令牌或凭证,以防止未经授权访问您的消息渠道。
已连接频道的凭证存储~/.openclaw/credentials/在您的实例中。要轮换证书,请执行以下操作:
-
从源头撤销被泄露的令牌:
-
Telegram:打开 Telegram
@BotFather、消息,然后使用/revoke使你现有的机器人令牌失效并生成一个新的机器人令牌。 -
WhatsApp: 从手机 WhatsApp 上注销关联设备会话(
Settings→Linked Devices→ 选择您的 OpenClaw 会话 →Log out)。然后使用二维码配对流程重新链接。
-
-
更新您的 OpenClaw 实例上的凭证:SSH 到您的实例并运行:
openclaw channels update选择您要更新的频道,并在出现提示时输入新的令牌或凭证。
-
通过更新的频道发送测试消息,验证频道是否正常运行。
注意
轮换消息凭证不会影响您的网关令牌或其他连接的渠道——每个凭证都是独立管理的。
setup-lightsail-openclaw-bedrock-role.sh脚本有什么作用?
它创建了一个 IAM 角色,该角色仅允许您的 OpenClaw 实例使用通过 Amazon Bedrock 和 AWS Marketplace 提供的基础模型。
如何从快照恢复 OpenClaw 实例?
-
使用现有 OpenClaw 快照创建新实例。有关更多信息,请参阅从快照创建实例。
-
通过 Lightsail 控制台通过 SSH 连接到你的新 OpenClaw 实例
-
运行以下命令以获取您的 Lightsail 实例的实例 ID,例如:
i-1234567890abcdef1TOKEN=`curl -s -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` && curl -w "\n" -s -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/instance-id -
运行以下命令以获取与实例关联的 IAM 角色:
grep 'role_arn' /home/ubuntu/.aws/config | head -1 | awk '{print $3}' -
在 IAM 控制台
上找到您在上一步中检索到的角色,例如 LightsailRoleFor-i-0d15d5483571b95bb -
选择
Trust relationships -
选择
Edit trust policy -
使用之前检索到的实例 ID 的 ARN 更新信任策略,例如。
"arn:aws:sts::0123456789012:assumed-role/AmazonLightsailInstance/i-1234567890abcdef1" -
选择
Update policy
如何 AllowedOrigin 为我的 OpenClaw 实例进行配置?
AllowedOrigin 是一种安全设置,用于控制允许哪些网址(来源)连接到您的 OpenClaw 网关。这样可以防止未经授权的网站访问您的实例,并防止出现跨源安全问题。
MOTD 2.0.0(OpenClaw 2026.3.2 及更高版本):由 MOTD AllowedOrigin 服务自动管理。当您的实例启动或 IP 地址更改时,该服务会自动检测正确的来源并更新配置。无需手动操作。
MOTD 1.0.0 (OpenClaw 2026.2.17): AllowedOrigin 如果您是从特定域进行访问,则需要手动配置。 OpenClaw SSH 进入您的实例,然后按照以下说明编辑 OpenClaw 配置文件以添加允许的来源。
-
通过 Lightsai OpenClaw l 控制台通过 SSH 连接到你的实例
-
打开配置文件:
~/.openclaw/openclaw.json -
添加或修改 AllowedOrigin 设置:
{ "gateway": { "controlUi": { "allowedOrigins": [ "https://<your-domain.com>" ] } } } -
重新启动 OpenClaw 网关服务:
sudo systemctl restart openclaw-gateway
如何更新 OpenClaw 到最新版本?
要将 OpenClaw 网关更新到最新版本,请执行以下操作:
-
SSH 连接到您的 OpenClaw 实例
-
运行更新命令:
sudo openclaw update
重要注意事项:
-
OpenClaw 蓝图会在实例上全局安装网关,这就是需要 sudo 权限的原因
-
更新命令完成后,它将尝试以 root 用户身份启动网关,但这将失败,因为网关必须以
ubuntu用户身份运行 -
更新后必须手动重启网关:
openclaw gateway restart -
OpenClaw 控制界面仪表板中的 “更新” 按钮无法使用,因为它没有
sudo权限
连接静态 IP 地址后,设备配对会怎样?
当您将静态 IP 地址附加到您的 OpenClaw 实例时,实例的 IP 地址会发生变化。这对设备配对有重要影响:
-
先前已配对的所有浏览器和设备都将断开连接
-
网关令牌仍然有效,但连接端点已更改
-
连接静态 IP 后,必须再次明确配对所有浏览器和设备
要重新配对您的设备,请执行以下操作:
-
SSH 连接到您的实例(SSH 连接将适用于新的静态 IP)
-
按照步骤 2 中的配对步骤重新连接每个浏览器
-
对于消息渠道(Telegram、 WhatsApp),您可能还需要重新批准配对
如何授予沙盒权限以启用工具?
默认情况下,在隔离的 Docker 容器环境(沙箱)中 OpenClaw 运行工具和插件,以保护您的实例免受潜在的有害操作的影响。这种隔离限制了工具可以访问的内容,包括系统命令、文件系统访问、网络连接和主机系统资源。
虽然这提供了强大的安全性,但某些工具可能需要限制较少的设置才能正常运行。例如,网页抓取工具需要网络访问权限,而文件管理工具需要更广泛的文件系统访问权限。如果没有这些权限,沙盒主要用作功能有限的基本聊天机器人。
要减少沙箱的限制,请执行以下操作:
-
通过 Lightsai OpenClaw l 控制台通过 SSH 连接到你的实例
-
运行以下命令来配置工具执行设置:
openclaw config set tools.exec.host gateway openclaw config set tools.exec.ask off openclaw config set tools.exec.security full -
重新启动 OpenClaw 网关服务以使更改生效:
openclaw gateway restart
这些设置的作用:
-
tools.exec.host gateway-允许工具直接在网关主机上执行,而不是在隔离的 Docker 容器中执行,从而允许它们访问系统命令和资源 -
tools.exec.ask off-在工具执行之前禁用权限提示,允许工具无需手动批准即可自动运行 -
tools.exec.security full-设置工具执行的安全级别
安全考虑:这些设置可显著降低工具与系统之间的隔离。只有在您信任自己正在使用的工具时才配置这些设置。如果工具遭到入侵或恶意攻击,运行限制较少的沙箱设置的工具可能会使您的实例面临安全风险。
MOTD 版本之间有什么区别?
OpenClaw 实例使用不同的 MOTD(每日消息)版本,具体取决于它们的创建时间。以下是你需要知道的:
MOTD 1.0.0 (2026.2.17)OpenClaw :
-
网关管理:使用
sudo systemctl start/stop/status openclaw-gateway -
代币轮换:仅限手动(使用
openclaw token rotate)
MOTD 2.0.0(OpenClaw 2026.3.2 及更高版本):
-
网关管理:使用简化的命令
openclaw gateway start/stop/status -
代币轮换:每日自动轮换
如何检查您的 MOTD 版本:通过 SSH 登录您的实例并查看显示的欢迎消息。MOTD 版本将显示在顶部。
