AWSがBedrock AgentCore RuntimeでサーバーレスなカスタムMCPプロキシを実行するガバナンス・監査アーキテクチャを公開
AWSは2026年4月29日、Amazon Bedrock AgentCore RuntimeでカスタムModel Context Protocol(MCP)プロキシをサーバーレスに実行するためのリファレンスアーキテクチャを公開しました。プロキシはAIエージェントと上流MCPサーバーの間に配置され、既存サーバーを変更せずにガバナンス・監査証跡・入力サニタイズを追加できます。デモではFastMCPと3段階の認証を使用しています。
AWSは2026年4月29日、Amazon Bedrock AgentCore Runtime上でステートレスなMCPプロキシをサーバーレスワークロードとして実行するための詳細なリファレンスアーキテクチャを公開しました。シニアソリューションアーキテクトのNizar Kheirは、プロキシを「AIエージェントと上流MCPサーバーの間のプログラマブルなレイヤー」と表現し、エンタープライズ顧客が既存インフラをリファクタリングすることなく独自のセキュリティとコンプライアンス制御を適用できるようにするものと説明しています。
プロキシの動作原理
プロキシはFastMCP Pythonライブラリをベースにしており、起動時に上流MCPサーバー(AgentCore Gateway、独自のMCPサーバー、サードパーティなど)のツールを動的に検出し、カスタムロジックを注入した上でクライアントに再公開します。AWSの記事には、トークン化・検証・フィルタリングを注入しながら呼び出しを転送するツールハンドラーの生成方法を示す具体的なコードスニペットが掲載されています:
def _make_tool_handler(tool_name: str):
def handler(**kwargs) -> str:
result = _send_gateway_request("tools/call", ...)
# カスタムロジック:トークン化、検証、フィルタリング
return result3段階の認証
アーキテクチャは3つの独立した認証レイヤーを定義しています。クライアント→プロキシはAgentCore Identity(IAMまたはJWT/OAuth 2.0トークン)、プロキシ→上流サーバーはAWS SigV4またはOAuthクライアント認証情報、上流→外部ツールはOAuthトークンとAPIキーを管理するAgentCore認証情報プロバイダーを使用します。
主なユースケース
AWSは5つの典型的なシナリオを挙げています:バックエンドがツール呼び出しを受信する前の入力サニタイズ、コンプライアンス対応の監査証跡生成、プロトコルレベルの機密データ編集、呼び出し元のIDに基づくツールレベルのアクセス制御、ツール呼び出し引数内のPIIトークン化。これらはすべて上流サーバーへの変更なしに実現できます。
コードの入手方法
完全なデモはGitHubリポジトリaws-samples/sample-mcp-proxy-agentcore-runtimeで公開されています。setup_and_deploy.pyスクリプトがdeploy_config.jsonと連携してデプロイを自動化します。設定ファイルには上流ゲートウェイエンドポイント・認証方式・リージョン・オプションのCognito認証情報を定義します。
よくある質問
- MCPプロキシとは何ですか?
- MCPクライアント(エージェント)と上流MCPサーバーの間に位置するプログラマブルなレイヤーで、ツール呼び出しをインターセプトしてガバナンス制御・監査ログ・データサニタイズを追加します——上流サーバー自体を変更する必要はありません。
- サポートされている認証方式は?
- 3つの独立したレイヤー:エージェント→プロキシはAgentCore Identity(IAMまたはJWT/OAuth 2.0)、プロキシ→上流はAWS SigV4またはOAuthクライアント認証情報、上流→ツールはOAuthトークンとAPIキーを管理するAgentCore認証情報プロバイダー。
- プロキシはエンタープライズコンプライアンスにどう役立ちますか?
- バックエンドがツール呼び出しを受信する前の入力サニタイズ、コンプライアンス監査証跡の生成、機密データの編集、ツールレベルのアクセス制御、ツール呼び出し引数内のPIIトークン化を実現します。
この記事はAIにより一次情報源から生成されました。