AWS Bedrock AgentCore: serverloser MCP-Proxy für KI-Agenten

Am 29. April 2026 veröffentlichte AWS eine Referenzarchitektur für den Betrieb eines eigenen Model Context Protocol (MCP)-Proxys auf Bedrock AgentCore Runtime. Der Proxy wird zwischen einem KI-Agenten und vorgelagerten MCP-Servern platziert, um Governance, einen Audit-Trail und Eingabe-Sanitierung hinzuzufügen, ohne bestehende Server zu modifizieren. Das Demo verwendet FastMCP und drei Authentifizierungsschichten.

Am 29. April 2026 veröffentlichte AWS eine detaillierte Referenzarchitektur für den Betrieb eines zustandslosen MCP-Proxys als serverlosen Workload auf Amazon Bedrock AgentCore Runtime. Der Autor des Artikels, Senior Solutions Architect Nizar Kheir, beschreibt den Proxy als „programmierbare Schicht zwischen KI-Agenten und vorgelagerten MCP-Servern”, die Enterprise-Kunden die Anwendung eigener Sicherheits- und Compliance-Kontrollen ermöglicht, ohne die bestehende Infrastruktur umzustrukturieren.

Wie funktioniert der Proxy?

Der Proxy basiert auf der FastMCP-Python-Bibliothek und erkennt beim Start dynamisch die Tools von vorgelagerten MCP-Servern (z. B. AgentCore Gateway, einem eigenen MCP-Server oder einem Drittanbieter), um sie anschließend mit eingebetteter Custom-Logik dem Client erneut bereitzustellen. AWS enthält im Artikel einen konkreten Code-Ausschnitt, der zeigt, wie ein Tool-Handler generiert wird, der Aufrufe mit der Möglichkeit zur Tokenisierung, Validierung oder Filterung vor dem Senden weiterleitet:

def _make_tool_handler(tool_name: str):
    def handler(**kwargs) -> str:
        result = _send_gateway_request("tools/call", ...)
        # Custom logic: tokenization, validation, filtering
        return result

Drei Authentifizierungsschichten

Die Architektur definiert drei unabhängige Authentifizierungsschichten. Client zum Proxy verwendet AgentCore Identity (IAM oder JWT/OAuth 2.0-Tokens), Proxy zum vorgelagerten Server verwendet AWS SigV4 oder OAuth Client Credentials, und Upstream zu externen Tools verwendet AgentCore Credential Provider, die OAuth-Tokens und API-Schlüssel verwalten.

Typische Anwendungsfälle

AWS nennt fünf typische Szenarien: Eingabe-Sanitierung bevor das Backend einen Tool-Aufruf erhält, Generierung compliance-konformer Audit-Trails, Schwärzung sensibler Daten auf Protokollebene, tool-seitige Zugriffskontrolle nach der Identität des Aufrufers sowie PII-Tokenisierung in Tool-Aufruf-Argumenten. All dies lässt sich ohne jegliche Änderung am vorgelagerten Server erreichen.

Code-Verfügbarkeit

Das vollständige Demo ist im GitHub-Repository aws-samples/sample-mcp-proxy-agentcore-runtime verfügbar. Das Skript setup_and_deploy.py automatisiert das Deployment mit einer deploy_config.json, die den vorgelagerten Gateway-Endpunkt, die Auth-Methode, die Region und optionale Cognito-Credentials definiert.

Häufig gestellte Fragen

Was ist ein MCP-Proxy?

Eine programmierbare Schicht zwischen einem MCP-Client (Agent) und einem vorgelagerten MCP-Server, die Tool-Aufrufe abfängt, um Governance-Kontrollen, Audit-Einträge und Datensanitierung hinzuzufügen — ohne den vorgelagerten Server selbst zu verändern.

Welche Authentifizierungsmethoden werden unterstützt?

Drei unabhängige Schichten: Agent→Proxy über AgentCore Identity (IAM oder JWT/OAuth 2.0), Proxy→Upstream über AWS SigV4 oder OAuth Client Credentials sowie Upstream→Tools über AgentCore Credential Provider für OAuth-Tokens und API-Schlüssel.

Was leistet der Proxy für die Enterprise-Compliance?

Eingabe-Sanitierung bevor das Backend sie erhält, Generierung compliance-konformer Audit-Trails, Schwärzung sensibler Daten, tool-seitige Zugriffskontrolle und Tokenisierung von PII in Tool-Argumenten.

AWS zeigt, wie man einen serverlosen MCP-Proxy auf Bedrock AgentCore Runtime für Governance und Audit betreibt

Wie funktioniert der Proxy?

Drei Authentifizierungsschichten

Typische Anwendungsfälle

Code-Verfügbarkeit

Häufig gestellte Fragen

Quellen

Verwandte Nachrichten