AWS Bedrock AgentCore：エンタープライズガバナンス向けに IAM、OAuth 2.0 JWT、CloudWatch 可観測性を備えたサーバーレス MCP プロキシ

AWS は 2026 年 4 月 29 日、Amazon Bedrock AgentCore Runtime 上でカスタム MCP プロキシをサーバーレスワークロードとしてデプロイするためのリファレンスアーキテクチャを公開しました。この実装は、AI ツール向けのガバナンスとコンプライアンスロジックをすでに持ちながらも、既存のインフラストラクチャを Lambda 関数やサイドカーコンテナにリファクタリングしたくない組織を直接の対象としています。記事の著者は AWS のシニアソリューションアーキテクト Nizar Kheir です。

MCP プロキシ層のアーキテクチャはどのようなものですか？

システムには相互に独立して認証する 3 つの層があります。MCP クライアント層には AgentCore Runtime 上のエージェントワークロードが含まれます。MCP プロキシ層はガバナンスロジックを処理するカスタムの仲介者です——この層が今回の発表の新要素です。上流サーバー層には既存の MCP エンドポイント（AgentCore Gateway、セルフホストサーバー、サードパーティサービス）が含まれます。プロキシはリクエストを透過的に転送しながら独自の変換を適用するため、既存のツールはプロキシが経路上に存在することを知る必要がありません。

プロキシはどのように上流ツールを検出し、呼び出しを認証しますか？

プロキシは起動時に tools/list リクエストを通じて上流ツールを動的に検出するために FastMCP フレームワークを使用します——ツールは手動で登録することなくローカルで再公開されます。認証には 2 つの方式がサポートされています。IAM/SigV4 ではプロキシが実行ロールを継承し、送信リクエストに自動的に署名します。OAuth 2.0 クライアント認証情報グラントでは JWT ベアラートークンがメモリにキャッシュされ自動更新されます。組み込みの可観測性は CloudWatch Logs と OpenTelemetry の統合を通じて提供されます。

AWS のリファレンスにはどのような具体的なガバナンスの例がありますか？

2 つの例がこのアプローチの強力さを示しています。PII トークン化：プロキシはツール引数を傍受し、バックエンドシステムに送信する前に機密データ（個人 ID、カード番号）を可逆トークンに置換し、応答でトークンを復元します——バックエンドは生の PII データを一切見ることがありません。アイデンティティベースのツール制限：ツールハンドラーのポリシーチェックにより、特定の呼び出し元が呼び出せるツールを制限し、オプションで tools/list 応答をフィルタリングして呼び出し元が使用権限のないツールを見えないようにできます。Kheir は強調しています。「このアーキテクチャのすべての層は独立して認証します。上流サーバーがツールを実行し独自の認可を処理し続ける間、プロキシを通じて MCP プロトコル層に独自のロジックを注入します。」GitHub リポジトリには IAM ロール、コンテナビルド、AgentCore デプロイのための自動化 setup_and_deploy.py スクリプトが含まれています。