AWS 本週把它的 MCP Server 推到 GA——一個託管的單一端點,透過 Model Context Protocol 暴露所有 AWS API,而不是過去一年每個雲團隊手搓的逐服務實作。Preview 在 2025 年 11 月發布;GA 增加了多步任務的沙盒 Python 執行,以及包含長時操作和檔案上傳的全面 API 涵蓋。發布中提到的服務:Amazon S3 Vectors、Amazon Aurora DSQL、Amazon Bedrock AgentCore——企業 AI builder 之前一直靠手寫 SDK 膠水程式碼連接的三個組件。Claude Code、Kiro、Cursor、Codex 開箱相容。對在 AWS 環境裡 ship agent 的人來說,這把整合面從「每個服務一個 MCP 包裝層」壓成「一個 MCP 端點,完整 IAM 控制平面」。
技術上有趣的地方是認證橋接。MCP 2.1 在認證上標準化在 OAuth 2.1;AWS 數十年前就標準化在 IAM + SigV4。兩者原生不互通。AWS 在 github.com/aws/agent-toolkit-for-aws 發布了一個開源的 MCP Proxy for AWS,它在你的 agent 旁邊本地執行,把 IAM 認證翻譯成 OAuth 相容的請求——你的 agent 以為它在打標準 MCP server,proxy 用 SigV4 簽底層呼叫並轉發。這是把 MCP 接入任何認證早於 OAuth 2.1 的雲的規範模式,AWS 的參考實作是 in the wild 的第一個主要案例。治理用標準方式掛上:IAM 策略管 agent 能呼叫什麼,CloudWatch 指標管它在做什麼,CloudTrail 管完整稽核日誌。定價:伺服器免費;你為 agent 實際消耗的資源付費,照常計費。
生態解讀:這是 Anthropic 的 MCP Tunnels preview 之後兩週內第二個重大的 MCP 基礎建設發布。模式一致——大平台正收斂在 MCP 作為標準的 agent-to-tool 邊界,目前正在做的工作是填補協定本身不規定的認證/治理/執行時部分。AWS 以全 API 涵蓋外加 IAM 作為控制平面來做這件事,是個真實信號:我們已經不在「每個整合一個 MCP server」的世界,而是在「每個雲一個 MCP」的世界。推論是:同一個允許你的 agent 呼叫 s3:PutObject 的 MCP,如果策略鬆,也允許它呼叫 iam:PassRole。這正是一位實踐者在 InfoQ 那篇裡指出的 gap:「除了 IAM 層以外沒有 gateway 限制特定動作或操作。」blast-radius 的故事就是你的 IAM 故事。
週一早上:如果你跑的 agent 接觸 AWS,把你的逐服務 MCP 包裝層換成統一的 server,並收緊你的 agent 假設的 credential 上掛的 IAM 角色。新的沙盒 Python 執行意味著多步任務(讀 X、轉換、寫 Y)不再需要單獨的編排膠水程式碼——它們在 MCP server 的沙盒裡完成。誠實的 blocker 是 gateway 限制 gap:IAM 是唯一的 gate,所以一個設定錯的策略就是整個 failure mode。在 AWS 推出更細粒度的動作 gate 之前,把 MCP server 的 IAM 角色當成 least-privilege 生產角色來對待:把它精確 scope 到 agent 需要的 ARN 和動作,透過 CloudTrail 記錄一切,對異常模式告警。參考 proxy 和工具包在 github.com/aws/agent-toolkit-for-aws。