AWS 本周把它的 MCP Server 推到 GA——一个托管的单一端点,通过 Model Context Protocol 暴露所有 AWS API,而不是过去一年每个云团队手搓的逐服务实现。Preview 在 2025 年 11 月发布;GA 增加了多步任务的沙盒 Python 执行,以及包含长时操作和文件上传的全面 API 覆盖。发布中提到的服务:Amazon S3 Vectors、Amazon Aurora DSQL、Amazon Bedrock AgentCore——企业 AI builder 之前一直靠手写 SDK 胶水代码连接的三个组件。Claude Code、Kiro、Cursor、Codex 开箱兼容。对在 AWS 环境里 ship agent 的人来说,这把集成面从「每个服务一个 MCP 包装层」压成「一个 MCP 端点,完整 IAM 控制平面」。
技术上有趣的地方是认证桥接。MCP 2.1 在认证上标准化在 OAuth 2.1;AWS 几十年前就标准化在 IAM + SigV4。两者原生不互通。AWS 在 github.com/aws/agent-toolkit-for-aws 发布了一个开源的 MCP Proxy for AWS,它在你的 agent 旁边本地运行,把 IAM 认证翻译成 OAuth 兼容的请求——你的 agent 以为它在打标准 MCP server,proxy 用 SigV4 签底层调用并转发。这是把 MCP 接入任何认证早于 OAuth 2.1 的云的规范模式,AWS 的参考实现是 in the wild 的第一个主要案例。治理用标准方式挂上:IAM 策略管 agent 能调用什么,CloudWatch 指标管它在做什么,CloudTrail 管完整审计日志。定价:服务器免费;你为 agent 实际消耗的资源付费,照常计费。
生态解读:这是 Anthropic 的 MCP Tunnels preview 之后两周内第二个重大的 MCP 基础设施发布。模式一致——大平台正收敛在 MCP 作为标准的 agent-to-tool 边界,目前正在做的工作是填补协议本身不规定的认证/治理/运行时部分。AWS 以全 API 覆盖外加 IAM 作为控制平面来做这件事,是个真实信号:我们已经不在「每个集成一个 MCP server」的世界,而是在「每个云一个 MCP」的世界。推论是:同一个允许你的 agent 调用 s3:PutObject 的 MCP,如果策略松,也允许它调用 iam:PassRole。这正是一位实践者在 InfoQ 那篇里指出的 gap:「除了 IAM 层以外没有 gateway 限制特定动作或操作。」blast-radius 的故事就是你的 IAM 故事。
周一上午:如果你跑的 agent 接触 AWS,把你的逐服务 MCP 包装层换成统一的 server,并收紧你的 agent 假设的 credential 上挂的 IAM 角色。新的沙盒 Python 执行意味着多步任务(读 X、转换、写 Y)不再需要单独的编排胶水代码——它们在 MCP server 的沙盒里完成。诚实的 blocker 是 gateway 限制 gap:IAM 是唯一的 gate,所以一个配错的策略就是整个 failure mode。在 AWS 推出更细粒度的动作 gate 之前,把 MCP server 的 IAM 角色当成 least-privilege 生产角色来对待:把它精确 scope 到 agent 需要的 ARN 和动作,通过 CloudTrail 记录一切,对异常模式告警。参考 proxy 和工具包在 github.com/aws/agent-toolkit-for-aws。