AWS MCP Server の Preview での利用開始が発表されました#AWSreInvent
こんにちは、森田です。
AWSのアップデートで AWS MCP Server の Preview での利用開始が発表されました。
AWS MCP Server とは
AWS サービスへの安全で認証されたアクセスを提供する、フルマネージドのリモート Model Context Protocol (MCP) サーバです。
これまでは、AWS 公式のawslabsリポジトリにてローカル実行用の MCP サーバが公開されていました。
今回の AWS MCP Server は、上記の awslabs で提供されていた「AWS API MCP サーバ」と「AWS Knowledge MCP サーバ」の機能を統合し、フルマネージドサービス化したものになります。
そのため、AWS MCP Serverを利用する場合は、機能が競合するため「AWS API MCP サーバ」と「AWS Knowledge MCPサーバ」を削除する必要があります。
何が嬉しいのか
従来の「AWS API MCP サーバ」と「AWS Knowledge MCPサーバ」の利用と比較して以下のメリットがあります。
- 1つのMCPサーバをセットアップすれば良い
- IAMでの認証認可
- 新たにActionとして
aws-mcp:InvokeMCP、aws-mcp:CallReadOnlyTool、aws-mcp:CallReadWriteToolによる制御が可能
- 新たにActionとして
- AWS CloudTrail でのロギング
- API 呼び出しやユーザーアクティビティを確認できる
本ブログでは、特に「IAM での認証認可」と「AWS CloudTrail でのロギング」に焦点を当てて確認してみます。
IAMでの認証認可
Action
現在は、以下の Action を IAM ポリシーに設定可能です。
- aws-mcp:InvokeMcp
- aws-mcp:CallReadOnlyTool
- aws-mcp:CallReadWriteTool
以下ドキュメントを確認したところ、ConsoleAccess、ReadOnlyも記載がありました。
将来的にはマネジメントコンソール上で MCP Server のリソース管理ができるようになる可能性が高そうです。
AWS CloudTrail でのロギング
実際に MCP Server を呼び出して、CloudTrail にログが記録されるか確認してみます。
今回は以下の記事を参考に、Claude Code から呼び出してみます。
上記中では、AWS_REGION=us-east-1を指定するようになっていますが、おそらく直近でus-west-2の指定に変更となっているようです。
Note:
Replace us-west-2 with your preferred default AWS Region.
https://docs.aws.amazon.com/aws-mcp/latest/userguide/getting-started-aws-mcp-server.html
MCP セットアップ
以下のコマンドで MCP サーバを追加します。
claude mcp add aws-mcp -s project -- uvx mcp-proxy-for-aws@v1.1.2 https://aws-mcp.us-east-1.api.aws/mcp --metadata AWS_REGION=us-west-2
設定ファイル(.mcp.json)は以下のようになります。
{
"mcpServers": {
"aws-mcp": {
"type": "stdio",
"command": "uvx",
"args": [
"mcp-proxy-for-aws@v1.1.2",
"https://aws-mcp.us-east-1.api.aws/mcp",
"--metadata", "AWS_REGION=us-west-2"
],
"env": {}
}
}
}
Claude Codeでの呼び出し
Claude Code に対して、「aws-mcpを使って、最新のAWSアップデートを1つ教えて」と指示を与えてみます。
> aws-mcpを使って、最新のAWSアップデートを1つ教えて
⏺ AWS MCPを使って最新のAWSアップデートを検索します。
⏺ aws-mcp - aws___search_documentation (MCP)(search_phrase: "latest AWS updates new features 2025",
topics: ["current_awareness"], limit: 5)
⎿ {
"content": {
"result": [
… +134 lines (ctrl+o to expand)
⏺ AWS MCPで最新のアップデートを検索しました。以下、2025年のAWS
re:Inventで発表された最新アップデートを1つご紹介します:
IAM Policy Autopilot (2025年 AWS re:Invent)
概要:
IAM Policy Autopilotは、コードを分析してIAMポリシーを自動生成するオープンソースツールです。
主な特徴:
- アプリケーションコードを分析し、必要なIAMパーミッションを自動的に生成
- AIコーディングアシスタント(Kiro、Claude Code、Cursor、Clineなど)と統合可能
- 最新のAWSサービスとオペレーションの知識を常に保持
- Python、TypeScript、Goアプリケーションをサポート
メリット:
- IAMポリシー作成の手間を大幅に削減
- AWS SDK呼び出しから必要なパーミッションを自動抽出
- 手動でのポリシー作成時のミスを防止
このツールはGitHubで無料で公開されており、AWS開発体験を大幅に簡素化します。
参考:
- https://aws.amazon.com/blogs/aws/simplify-iam-policy-creation-with-iam-policy-autopilot-a-new
-open-source-mcp-server-for-builders/
- https://aws.amazon.com/blogs/aws/top-announcements-of-aws-reinvent-2025/
他のアップデートについても知りたい場合はお知らせください!
aws___search_documentationを使って、re:Invent2025で発表された「IAM Policy Autopilot」を取得できていますね。
CloudTrailの確認
ここでハマったのですが、MCP Serverセットアップ時には、us-west-2を指定しましたが、CloudTrailはus-east-1で確認できました。
{
"eventVersion": "1.11",
"userIdentity": {},
"eventTime": "2025-12-02T07:43:10Z",
"eventSource": "aws-mcp.amazonaws.com",
"eventName": "Initialize",
"awsRegion": "us-east-1",
"sourceIPAddress": "xxx",
"userAgent": "python-httpx/0.28.1",
"requestParameters": {
"jsonrpc": "2.0",
"method": "initialize",
"id": 0,
"params": "[HIDDEN_DUE_TO_SECURITY_REASONS]"
},
"responseElements": {
"jsonrpc": "2.0",
"id": 0,
"result": "[HIDDEN_DUE_TO_SECURITY_REASONS]"
},
"requestID": "ca70a470-5df1-4529-8082-83561aae2542",
"eventID": "8506d7f7-01a1-4098-b93a-f17f43046f2b",
"readOnly": false,
"eventType": "AwsMcpEvent",
"managementEvent": true,
"recipientAccountId": "xxx",
"eventCategory": "Management"
}
また、eventNameなども以下のドキュメントと違いますが、おそらく今後アップデートされるのでしょう。
さいごに
AWS MCP Serverについては、今後他のawslabsのMCPサーバも基本統合されそうな気がしています。
また、現在はマネジメントコンソールで確認できませんが、マネジメントコンソール上でMCPサーバを一元管理できると良さそうですね。
さらっとmcp-proxy-for-awsも利用されています。
以下のアップデートで発表されたサービスで AWS SigV4 認証できるのは、すでにAWSを利用しているケースでは便利ですね。
まだ、プレビュー版なので、今後のGAが非常に楽しみなサービスです!
