AWS Bedrock AgentCore：엔터프라이즈 거버넌스를 위한 IAM, OAuth 2.0 JWT, CloudWatch 관찰 가능성을 갖춘 서버리스 MCP 프록시

AWS는 2026년 4월 29일 Amazon Bedrock AgentCore Runtime에서 커스텀 MCP 프록시를 서버리스 워크로드로 배포하기 위한 참조 아키텍처를 공개했습니다. 이 구현은 AI 도구에 대한 거버넌스 및 컴플라이언스 로직을 이미 갖추고 있지만 기존 인프라를 Lambda 함수나 사이드카 컨테이너로 리팩토링하고 싶지 않은 조직을 직접 대상으로 합니다. 기사 작성자는 AWS의 시니어 솔루션 아키텍트 Nizar Kheir입니다.

MCP 프록시 계층의 아키텍처는 어떤 모습인가요?

시스템에는 서로 독립적으로 인증하는 세 개의 계층이 있습니다. MCP 클라이언트 계층에는 AgentCore Runtime의 에이전트 워크로드가 포함됩니다. MCP 프록시 계층은 거버넌스 로직을 처리하는 커스텀 중개자입니다——이 계층이 이번 발표의 새로운 내용입니다. 업스트림 서버 계층에는 기존 MCP 엔드포인트(AgentCore Gateway, 셀프 호스팅 서버, 타사 서비스)가 포함됩니다. 프록시는 자체 변환을 적용하면서 요청을 투명하게 전달하므로, 기존 도구는 프록시가 경로에 있다는 것을 알 필요가 없습니다.

프록시는 업스트림 도구를 어떻게 탐색하고 호출을 인증하나요?

프록시는 시작 시 tools/list 요청을 통해 업스트림 도구를 동적으로 탐색하기 위해 FastMCP 프레임워크를 사용합니다——도구는 수동 등록 없이 로컬에서 재노출됩니다. 인증에는 두 가지 방식이 지원됩니다. IAM/SigV4에서는 프록시가 실행 역할을 상속받아 발신 요청에 자동으로 서명합니다. OAuth 2.0 클라이언트 자격증명 부여 방식에서는 JWT Bearer Token이 메모리에 캐시되어 자동으로 갱신됩니다. 내장 관찰 가능성은 CloudWatch Logs 및 OpenTelemetry 통합을 통해 제공됩니다.

AWS 참조 구현에서 구체적인 거버넌스 예시는 무엇인가요?

두 가지 예시가 이 접근법의 강점을 보여줍니다. PII 토큰화: 프록시가 도구 인수를 가로채고, 백엔드 시스템으로 전송하기 전에 민감한 데이터(개인 ID, 카드 번호)를 가역 토큰으로 교체한 뒤 응답에서 토큰을 복원합니다——백엔드는 원시 PII 데이터를 절대 보지 못합니다. 신원 기반 도구 제한: 도구 핸들러의 정책 검사가 특정 호출자가 호출할 수 있는 도구를 제한하고, 선택적으로 tools/list 응답을 필터링하여 호출자가 사용 권한이 없는 도구를 보지 못하게 합니다. Kheir는 강조합니다: “이 아키텍처의 각 계층은 독립적으로 인증합니다. 업스트림 서버가 도구를 실행하고 자체 인가를 처리하는 동안, 프록시를 통해 MCP 프로토콜 계층에 자체 로직을 주입합니다.” GitHub 리포지토리에는 IAM 역할, 컨테이너 빌드, AgentCore 배포를 위한 자동화된 setup_and_deploy.py 스크립트가 포함되어 있습니다.