信頼度ランク
| S | 公式ソース確認済み |
| A | 成功実績多数・失敗例少数 |
| B | 賛否両論 |
| C | 動作未確認・セキュリティリスク高 |
| Z | 個人所感 |
AWS MCP Server GA——IAMガードレール付きでAIコーディングエージェントがAWSを直接操作できるようになった
AWS MCP Server GA(2026/5/6)。AIエージェントがIAMガードレール・CloudTrail監査付きでAWS APIを直接操作可能に。40以上のスキルを含むAgent Toolkitも同時提供、追加料金なし。
一言結論
AWS MCP ServerのGAにより、Claude CodeやCursor等のAIコーディングエージェントがIAM権限・CloudTrail監査付きでAWS APIをネイティブに呼び出せるようになった。追加料金なし(使ったAWSリソース分のみ課金)で、40以上のスキル(IaC・S3・Lambda・ECS等)がバンドルされている。エンタープライズでのAIエージェント運用の基準が一段引き上がった。
何が起きたか
2026年5月6日、AWSが AWS MCP Server の一般提供(GA)と、Agent Toolkit for AWS を発表した。
発表日: 2026年5月6日
提供形態: AWS管理のMCPサーバー(追加料金なし)
主な対象: AIコーディングエージェント(Claude Code、Cursor等)
同時発表: Agent Toolkit for AWS(40以上のスキル・プラグイン)MCP(Model Context Protocol)はAnthropicが策定し、主要AI企業に採用されたAIエージェントとツールを接続するオープンプロトコル。AWS MCP ServerはこのプロトコルをAWSの全サービスへのインターフェースとして実装したものだ。
AWS MCP Serverの核心機能
1. AWS APIへの直接アクセス
AIエージェントが1つのMCPツール経由でAWSの全サービスにアクセスできる。
対応する操作の例:
- EC2インスタンスの起動・停止・一覧取得
- S3バケットの作成・オブジェクトのアップロード・ダウンロード
- Lambda関数のデプロイ・呼び出し
- CloudFormation/CDKスタックの適用
- ファイルアップロードが必要な操作(マルチパートアップロード等)
- 長時間実行が必要な操作(非同期API対応)2. IAMベースのガードレール
AIエージェントが実行できるアクションをIAMポリシーで厳密に制御できる。
// エージェント用IAMポリシー例: S3読み取りとLambda呼び出しのみ許可
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket",
"lambda:InvokeFunction"
],
"Resource": [
"arn:aws:s3:::my-project-bucket/*",
"arn:aws:lambda:ap-northeast-1:123456789:function:my-func"
]
}
]
}
// → エージェントはこれ以外のAWS操作を実行できない
// → 従来の「エージェントに広いAWS権限を与えてしまう」問題を解決3. エンタープライズ観測性
CloudWatch: エージェントのすべてのAPI呼び出しをメトリクス・ログで監視
CloudTrail: 誰がいつどのAPIを呼んだかを完全に監査
→ コンプライアンス・インシデント対応に活用可能
これにより:
✅ AIエージェントの行動が人間の行動と同じ粒度で追跡可能
✅ エージェントが原因の設定ミスを遡及して特定できる
✅ 監査要件(SOC2・ISO27001等)を満たせる4. サンドボックスPythonコード実行
# エージェントがサンドボックス内でPythonスクリプトを実行できる
# ローカルファイルシステムやシェルへのアクセスはない
# 例: S3バケットのオブジェクト数を集計するスクリプトをエージェントが動的生成・実行
import boto3
s3 = boto3.client('s3')
buckets = s3.list_buckets()['Buckets']
for bucket in buckets:
response = s3.list_objects_v2(Bucket=bucket['Name'])
count = response.get('KeyCount', 0)
print(f"{bucket['Name']}: {count} objects")ローカルシェルや本番ファイルシステムへのアクセスなしに多ステップのAWS操作を実行でき、セキュリティリスクを限定できる。
Agent Toolkit for AWS
MCP Serverと同時に、Agent Toolkit for AWS も発表された。40以上の専門スキルをバンドルした公式ツールセットだ。
カテゴリ別スキル(一部):
インフラストラクチャ as Code:
- CloudFormation テンプレート生成・検証
- CDK コード生成・デプロイ
- Terraform モジュール生成
ストレージ:
- S3バケット設計・ライフサイクルポリシー設定
- EFS/EBS構成最適化
サーバーレス:
- Lambda関数のスキャフォールド・テスト
- API Gateway設定
コンテナ:
- ECS/EKS タスク定義生成
- Dockerfile最適化
AI/ML:
- SageMakerパイプライン構築
- Bedrock APIインテグレーションClaude CodeとAWS MCP Serverの連携
実際にClaude Codeから使う際の設定例:
// .claude/settings.json
{
"mcpServers": {
"aws": {
"command": "aws-mcp-server",
"env": {
"AWS_PROFILE": "my-dev-profile",
"AWS_REGION": "ap-northeast-1"
}
}
}
}接続後にできること(Claude Code内から):
"S3バケットmy-appの中身を一覧して"
→ エージェントがAWS MCP Server経由でs3:ListObjectsを呼び出す
"ap-northeast-1にLambda関数を作成して"
→ エージェントがIAMポリシーの範囲内でLambda APIを呼び出す
"CloudFormationスタックmy-stackのリソース一覧を取得して"
→ CloudTrailに記録しながら実行する従来手法との比較
❌ 従来: AWS CLIのラッパースクリプトを手動で書く
- CLIコマンドを覚える必要がある
- エラーハンドリングを自前で実装
- 監査証跡なし
❌ 従来: エージェントにAdmin権限のAWSアクセスキーを渡す
- キーの漏洩リスク
- エージェントが予期しないリソースを削除する可能性
- 監査なし
✅ AWS MCP Server(新方式):
- IAMで操作を最小権限に絞れる
- CloudTrailで全操作が記録される
- 追加料金なし
- 自然言語でAWS操作を指示できる落とし穴・注意点
- IAMポリシーの設計が重要: MCP Server自体がセキュアでも、エージェントに広すぎるIAMポリシーを与えれば危険。最小権限の原則は変わらず適用される
- サンドボックスコード実行はPreview: Pythonサンドボックス実行機能は現時点でPreview扱いであり、本番ワークロードでの使用は自己責任
- AWSドキュメント検索の知識カットオフ: MCP Server付属のドキュメント検索はAWSが提供する最新情報だが、非常に新しいサービスの情報は遅れることがある
まとめ・参考リンク
AWS MCP ServerのGAは、AIエージェントとクラウドインフラの統合における重要なマイルストーンだ。IAMガードレール・CloudTrail監査・追加料金なしという3点が揃い、エンタープライズでの採用障壁が大きく下がった。Claude CodeやCursorでAWS作業を行う開発者は今すぐ評価する価値がある。
参考リンク:
- The AWS MCP Server is now generally available - AWS Blog
- AWS MCP Server what’s new - AWS
- Open Source MCP Servers for AWS - GitHub
- AWS Open Source MCP Servers Documentation
- r/aws discussion
注意事項: Pythonサンドボックス実行はPreview機能。Agent Toolkitのスキル一覧・スキルの詳細な仕様はGAリリース後に変更される可能性がある。最新情報はAWS公式ドキュメントを参照すること。