この記事の概要
2026年5月6日、AWS MCP Server が一般提供(GA)を開始した。AIコーディングエージェントが最新のAWSドキュメントを参照しつつ、IAM認証経由でAWS APIを安全に実行できるようになる。Claude Code・Kiro・Cursor ユーザー向けに、セットアップ手順・IAMポリシー設計・実務活用パターンを解説する。
AIエージェントにAWSを任せられる時代が来た
2026年5月6日、AWSは AWS MCP Server の一般提供(GA)を発表した。
MCPとは「Model Context Protocol」の略で、AIコーディングエージェントが外部ツールやAPIと通信するための標準プロトコルだ。AWS MCP Serverはこのプロトコルを使い、Claude Code・Kiro・Cursorなどのエージェントに対して以下の3つの能力を与える。
- AWSドキュメントのリアルタイム検索 — モデルのトレーニングデータが古くても、最新のサービス仕様を取得できる
- 15,000以上のAWS APIの実行 — 既存のIAM認証情報をそのまま使用
- サンドボックス上でのPythonスクリプト実行 — 複数APIの結果を結合して処理できる
これまでAIエージェントにAWSを操作させるには、AWS CLIをシェル経由で実行させるか、個別のMCPサーバー(aws-api-mcp-server、aws-knowledge-mcp-server)を組み合わせる必要があった。AWS MCP Serverは、これらを単一のマネージドエンドポイントに統合した進化版だ。
AIエージェントがAWSを誤操作してしまう3つの根本原因
AIエージェントにAWSを操作させてきたエンジニアなら、次のような問題を経験したことがあるはずだ。
① モデルが新しいサービスを知らない
Claude Opus 4.6のナレッジカットオフは2025年5月。Amazon S3 VectorsやAurora DSQLなど2025年後半以降にリリースされたサービスは、エージェントがそのまま知らない状態で回答する。知らないサービスを使うよう聞かれると、古い代替手段を提案してしまう。
② 過剰なIAM権限が必要になる
AWS CLI経由でエージェントを動かす場合、AdministratorAccess相当の権限を与えがちだ。インフラ操作ツールに広すぎる権限を持たせることは、セキュリティリスクでありコンプライアンス上も問題になる。
③ 操作の監査ができない
エージェントが何をしたのか、CLIコマンド履歴だけでは追いきれない。セキュリティチームに「AIが何をやったか」を説明できない状況は、企業環境では致命的だ。
AWS MCP Serverはこれら3つを一気に解決する。ドキュメント検索で最新情報を取得し、IAMコンテキストキーで細粒度の権限制御を実現し、CloudTrailで全API呼び出しを監査ログに残す。
5ステップで完了するセットアップ手順
実際にClaude Code(または任意のMCPクライアント)でAWS MCP Serverを使えるようにする手順を解説する。
既存のAWS MCPサーバーを削除する
既に aws-api-mcp-server や aws-knowledge-mcp-server を設定済みの場合は先に削除する。ツールの競合でエージェントが混乱するためだ。
AWS認証情報を設定する
# AWS SSO経由(推奨)
aws configure sso
# IAMユーザー経由(アクセスキー使用)
aws configure
# 設定確認
aws sts get-caller-identity
uvをインストールする
AWS MCP Serverはプロキシ経由で接続するため、Pythonパッケージ管理ツール uv が必要だ。
# macOS / Linux
curl -LsSf https://astral.sh/uv/install.sh | sh
MCPクライアントにサーバーを追加する
Claude Codeの場合は以下のコマンド一発で完了する。
claude mcp add-json aws-mcp --scope user \
'{"command":"uvx","args":["mcp-proxy-for-aws@latest","https://aws-mcp.us-east-1.api.aws/mcp","--metadata","AWS_REGION=ap-northeast-1"]}'
Cursor・Claude Desktop の場合は ~/.cursor/mcp.json や Claude Desktop の設定ファイルに以下を追記する。
{
"mcpServers": {
"aws-mcp": {
"command": "uvx",
"args": [
"mcp-proxy-for-aws@latest",
"https://aws-mcp.us-east-1.api.aws/mcp",
"--metadata", "AWS_REGION=ap-northeast-1"
]
}
}
}
ポイント:
AWS_REGIONを東京リージョン(ap-northeast-1)に設定することを忘れずに。デフォルトはus-east-1になる。
IAMポリシーを設定する(管理者権限以外の場合)
管理者ロール以外で使用する場合は、以下のポリシーを対象のIAMユーザー/ロールに付与する。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aws-mcp:InvokeMcp",
"aws-mcp:CallReadOnlyTool",
"aws-mcp:CallReadWriteTool"
],
"Resource": "*"
}
]
}
さらに、エージェントに読み取りのみを許可したい場合は CallReadWriteTool を除外し、ReadOnly のみにする。これにより、人間はリソースを作成・変更できるが、MCPサーバー経由のエージェントは参照しか行えない分離が可能になる。
接続をテストする
# Claude Codeで確認
claude
# プロンプト内で実行
/mcp
aws___search_documentation・aws___call_aws・aws___run_script などのツールが表示されれば設定完了だ。
実務での活用シナリオ
AWS MCP Serverが特に効果を発揮する場面を3つ紹介する。
シナリオ1: インフラのコード化
「ap-northeast-1にECS Fargateのタスク定義をTerraformで書いて」と指示すると、エージェントは search_documentation で最新のECS仕様を取得してからコードを生成する。半年前のトレーニングデータを使って古いオプションを書き込む問題が解消される。
シナリオ2: 複数リソースの一括調査
「本番アカウントで未使用のセキュリティグループを一覧して」と指示すると、run_script で複数のEC2・RDS・ELBのAPIを呼び出して結果を結合して返してくれる。今まで手で書いていたスクリプトが不要になる。
シナリオ3: セキュリティインシデント調査
「CloudTrailの直近1時間で不審な操作がないか確認して」と指示するだけで、エージェントがAPIを叩いてレポートを返す。しかもそのエージェント自身の操作もCloudTrailに記録されるため、二重の監査が担保される。
今日から始めるための3ステップと、押さえておくべき制限事項
AWS MCP ServerのGAにより、AIエージェントをAWSインフラ管理に活用するための基盤が整った。
今日から始める3ステップ:
aws sts get-caller-identityで認証情報を確認するcurl -LsSf https://astral.sh/uv/install.sh | shでuvをインストールする- Claude Code / Kiro / CursorにMCPサーバーを追加し、
/mcpで動作を確認する
GA時点で押さえておくべき制限:
- 利用可能リージョンは 米国東部(バージニア北部)と欧州(フランクフルト) の2つのみ(API呼び出し先はどのリージョンでもOK)
run_scriptのサンドボックスはネットワークアクセス不可(意図的な設計)- AWS MCP Server自体の料金は無料。利用したAWSリソース分のみ課金
エージェントは万能ではないが、「調べながら作る」という作業において人間のサポーターとして確実に機能する。まずは読み取り専用のIAMポリシーから試して、信頼できるユースケースを積み上げていくのがおすすめだ。
まとめ
AWS MCP Server GAは、AIコーディングエージェントとAWSインフラ管理の距離を一気に縮める発表だ。単なる利便性の話ではなく、IAM制御・CloudTrail監査・サンドボックス実行という3つのセキュリティ基盤を備えており、企業環境でも導入しやすい設計になっている。
インフラエンジニアとして、AIエージェントを「信頼して使えるツール」にするための仕組みがようやく揃った。ぜひ今日のうちに設定を試してみてほしい。
コメント