AWS MCP Server 一般提供開始まとめ｜IAM認証・CloudTrail監査・Agent Toolkit・Bedrock AgentCore SAP対応【2026年5月6日GA】

AWS MCP Serverは、2026年5月6日に一般提供（GA）が開始されたAWS公式のマネージド・リモートMCPサーバーで、IAM認証とCloudTrail監査を備えたまま、Claude CodeやCursorから15,000以上のAWS APIを安全に呼び出せる仕組みです。同時に「Agent Toolkit for AWS」もGA、5月1日には「AWS for SAP MCP Server」もBedrock AgentCore Runtime上でGAしており、AWSのエージェント基盤はこの数日間で大きく前進しました。

本記事では、2026年5月にAWSが立て続けに発表した3つのアップデートを以下の観点で整理します。

何がGAしたか（AWS MCP Server / Agent Toolkit / AWS for SAP MCP Server）
新IAMコンテキストキー（aws:ViaAWSMCPService / aws:CalledViaAWSMCP）の使い方
CloudTrail / CloudWatchによる監査の仕組み
料金・対応リージョン・現時点の制約（日本リージョン未対応・VPC Endpoint未対応）
Claude Code / Cursorからの最短セットアップ
OSS版（awslabs/mcp）・Preview版・GA版の3世代比較

AWSでAIコーディングエージェントの導入を検討中の開発リーダー、IAM・監査の責任を持つクラウドセキュリティ担当者、SAP×AIの統合を検討する企業担当者向けにまとめています。

AWS MCP Serverは「エージェントから安全にAWSを操る」公式の標準ルートになった

出典: AWS News Blog: The AWS MCP Server is now generally available

2026年5月のアップデートの要点は次の3つです。

AWS MCP Serverが2026年5月6日にGA — re:Invent 2025のプレビューから本番運用可能になり、対応API数は15,000以上に拡大。call_aws・search_documentation・read_documentation・run_script の4ツールが提供されます。
新たな2つのIAMコンテキストキーが追加 — aws:ViaAWSMCPService と aws:CalledViaAWSMCP により、「MCP経由のリクエストだけを許可・拒否する」「特定のMCPサーバー以外を弾く」といったポリシーが既存IAMの仕組みでそのまま書けるようになりました。
Agent Toolkit for AWS（5/6 GA）・AWS for SAP MCP Server（5/1 GA）が同時期に登場 — Agent ToolkitはMCP Server＋Skills＋Plugins＋Rulesの4要素で構成され、SAP MCPはBedrock AgentCore Runtime上で動作してS/4HANA / ECCにOData V2で接続します。

ただし、現時点での制約も明確にあります。対応リージョンはus-east-1とeu-central-1の2つのみで、日本リージョン（ap-northeast-1）は未対応、VPC Endpoint（PrivateLink）対応は「coming soon」のままGA時点では未提供です。規制業種・閉域要件のある企業はこの2点が解決するまで様子見が現実的です。

2026年5月のAWS×MCPアップデート3本立て

AWSは2026年5月初旬の1週間で、MCP関連の発表を3本立て続けに出しました。混同しやすいため、まず時系列で整理します。

日付	アップデート	種別	何が変わったか
2026/3/25	Agent Plugin for AWS Serverless	プラグイン追加	Lambda・EventBridge・Step Functions・SAM/CDK等のサーバーレス開発に特化したエージェントスキルが提供開始
2026/5/1	AWS for SAP MCP Server GA	新サーバーGA	Bedrock AgentCore Runtime上で動作。AIエージェントがS/4HANA / ECCにOData V2で接続可能に
2026/5/6	AWS MCP Server GA	コアサーバーGA	re:Invent 2025のプレビューから昇格。15,000+ AWS API対応・IAMコンテキストキー追加
2026/5/6	Agent Toolkit for AWS GA	親フレームワークGA	MCP Server＋40+ Skills＋3 Plugins＋Rulesを統合した公式エージェント開発フレームワーク

ポイントは2つあります。

1つ目は「AWS MCP Server」と「Agent Toolkit for AWS」を混同しないこと。 Agent Toolkitが親概念で、AWS MCP Serverはその中核コンポーネントの1つです。記事や社内資料で混同するとIAM権限設計のスコープを誤ります。

2つ目は「AWS MCP Server」と「AWS for SAP MCP Server」は別物だということ。 同じ「AWSのMCPサーバー」ですが、ランタイム基盤も対象APIもまったく異なります。前者は汎用のAWS API用、後者はBedrock AgentCore Runtime上で動くSAP特化です。

詳細はMCP（Model Context Protocol）とはで解説していますが、MCPは「AIエージェントが外部のツール・データに接続するための共通プロトコル」です。AWS MCP Serverはそのプロトコルに準拠したAWS公式の実装、と理解すれば十分です。

AWS MCP Serverとは｜AIエージェントとAWSをつなぐマネージド・リモートMCPサーバー

AWS MCP Serverは、Claude Code・Cursor・Codex・Kiro・Windsurf・Cline などのMCP互換AIエージェントから、IAM認証で安全にAWS APIを呼び出すための公式マネージドサーバーです。

従来は awslabs/mcp というOSS版MCPサーバー群をローカルで自分でホスティングする必要がありましたが、GA版はAWSが運用するリモートエンドポイントとして提供されます。

GAで提供される4つのツール

AWS MCP Serverは、単一エンドポイントで以下の4ツールを提供します。

ツール名	できること	認証
`call_aws`	15,000以上のAWS API操作を実行。ファイルアップロードや長時間実行リクエストにも対応	IAM SigV4認証が必要
`search_documentation`	最新AWSドキュメントの検索	認証不要（GAで変更）
`read_documentation`	AWSドキュメント本文の取得	認証不要（GAで変更）
`run_script`	サンドボックス環境でPythonスクリプトを実行（マルチステップ処理用）。IAM権限は継承するが、ネットワーク・ファイルシステム・シェルへのアクセスは不可	IAM権限を継承

特に重要なのはrun_scriptです。プレビュー版にはなかったツールで、「リソース一覧取得 → フィルタ → 個別API呼び出し」のような多段処理をエージェント側で何往復もせず、サンドボックス内のPythonで一括処理できます。トークン消費を抑える効果が公式ブログでも強調されています。

対応するAIコーディングエージェント

MCPに対応するクライアントであれば原則すべて利用できます。公式が明示的に挙げているのは以下です。

Claude Code
Cursor
OpenAI Codex
Kiro
Windsurf
Cline
その他MCP対応クライアント全般

それぞれのツールについてはClaude Codeとは・Cursorとは・Kiroとは・Windsurfとはで解説しています。

IAM認証の仕組み｜新コンテキストキーで「MCP経由」を識別できる

AWSセキュリティブログ Understanding IAM for Managed AWS MCP Servers の公式OGP画像

出典: AWS Security Blog: Understanding IAM for Managed AWS MCP Servers

AWS MCP ServerのGA最大の目玉は、IAMポリシーで「MCP経由のリクエストかどうか」を直接判定できるようになったことです。

新規追加された2つのIAMコンテキストキー

コンテキストキー	型	値・用途
`aws:ViaAWSMCPService`	Boolean	AWSマネージドMCPサーバー経由のリクエストでtrue。Allow / Denyポリシーの一括適用に使う
`aws:CalledViaAWSMCP`	String	どのMCPサーバー経由かのサービスプリンシパル名（例：`aws-mcp.amazonaws.com` / `eks-mcp.amazonaws.com` / `ecs-mcp.amazonaws.com`）

すべてのリクエストはSigV4で署名され、既存のIAM認証情報・ポリシー・SCP（Service Control Policy）の枠組みでそのまま認可されます。「MCP専用の特別な認可システムを別途学ぶ」必要はありません。

ポリシー例1：MCP経由は読み取り専用に限定する

組織横断で「エージェントから削除系のAPIを叩かせない」を強制するパターンです。SCP・IAMポリシーのいずれにも書けます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyDestructiveActionsViaMCP",
      "Effect": "Deny",
      "Action": [
        "s3:DeleteObject",
        "s3:DeleteBucket",
        "ec2:TerminateInstances",
        "rds:DeleteDBInstance",
        "dynamodb:DeleteTable"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "aws:ViaAWSMCPService": "true"
        }
      }
    }
  ]
}

ポリシー例2：特定のMCPサーバー経由のみ許可する

「EKS関連の操作はAWS純正のEKS MCP経由のみ許可、それ以外のMCPサーバーからは拒否する」のような細かい絞り込みも可能です。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowOnlyEKSManagedMCP",
      "Effect": "Deny",
      "Action": "eks:*",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:CalledViaAWSMCP": "eks-mcp.amazonaws.com"
        },
        "Bool": {
          "aws:ViaAWSMCPService": "true"
        }
      }
    }
  ]
}

公式セキュリティブログでは「エージェント＝シェルアクセスを持つジュニアエンジニア」の前提でIAMポリシーを設計するよう推奨されています。最小権限の原則を徹底し、最初は読み取り中心の制限的ポリシーから始めて、CloudTrailログを観察しながら段階的に緩めるのが現実的です。

CloudTrail・CloudWatchによる監査｜誰がいつ何を呼んだかを完全追跡

エンタープライズ採用の前提となる監査要件も、既存のCloudTrail / CloudWatchの仕組みでそのまま満たせます。

サービス	できること
CloudTrail	すべてのAPI呼び出しを記録。「誰が／いつ／何を」呼んだかを完全に追跡できる。エージェント経由の操作は新しいIAMコンテキストキーで識別可能
CloudWatch メトリクス	AWS-MCP 名前空間で公開され、MCP経由の呼び出しを人間の直接呼び出しと区別して可視化できる

公式ブログは、エージェント用IAMロールを環境ごと（dev / staging / prod）に分離し、CloudTrailで識別しやすい命名にすることを推奨しています。インシデント時の原因特定や、月次のアクセスレビューがそのまま既存ガバナンスに乗ります。

AIエージェント全般の安全運用ポイントはAIエージェントセキュリティガイド・AIコーディングのセキュリティリスクも併せて参考にしてください。

Agent Toolkit for AWSの4要素｜MCP Server / Skills / Plugins / Rules

GitHub aws/agent-toolkit-for-aws 公式リポジトリのOGP画像

出典: GitHub: aws/agent-toolkit-for-aws

Agent Toolkit for AWSは、AWSラボ（awslabs/mcp）に分散していたMCPサーバー・スキル・プラグインの後継・公式版フレームワークとして、AWS MCP Serverと同日（2026年5月6日）にGAしました。4つの要素で構成されます。

要素	役割	例
AWS MCP Server	4ツール（call_aws / search_documentation / read_documentation / run_script）を単一エンドポイントで提供	上記参照
Agent Skills	タスク別の手順書・コードスクリプト・参考資料パッケージ。エージェントが必要時に動的ロードしてコンテキスト消費を抑制	40+のスキルを初期搭載（IaC・ストレージ・分析・サーバーレス・コンテナ・AIサービス領域）
Plugins	Claude Code / Codex向けのワンクリックインストールパッケージ	AWS Core（フルスタックアプリ開発）／ AWS Data Analytics（データパイプライン・クエリ）／ AWS Agents（Bedrock AgentCore上のエージェント構築）
Rules files	プロジェクト単位のガードレール・優先設定ファイル	コーディング規約・命名規則・利用禁止リソース等

3つのプラグインの使い分けは次のとおりです。

AWS Core ─ Lambda・DynamoDB・S3・API Gateway等を使う一般的なフルスタック開発。最初に入れるならこれ。
AWS Data Analytics ─ Glue・Athena・Redshift・QuickSight等でデータパイプラインを組む人向け。
AWS Agents ─ Bedrock AgentCore上でエージェントそのものを開発する人向け。SDK・Runtime・Identity連携のスキルが揃う。

データベース・ネットワーキング・IAM領域のプラグインも今後拡張予定とアナウンスされています（GA時点では未提供）。

AWS for SAP MCP Serverとは｜Bedrock AgentCore Runtime上のSAP特化MCP

2026年5月1日にGAした「AWS for SAP MCP Server」は、Amazon Bedrock AgentCore Runtime上で動作するMCPサーバーで、AIエージェントがSAP S/4HANAやSAP ECCにOData V2経由で安全に接続できるようにします。

主要機能

機能	内容
Service Discovery	ODataサービスカタログ照会（ページネーション・サービス種別フィルタ対応）
Metadata Inspection	ODataサービスのメタデータ取得（エンティティ・プロパティ・関係性のマッピング）
OData Read	フィルタ・フィールド選択・件数取得を含む読み取り
OData Write	明示的有効化時のみCreate / Update / Delete（デフォルトは読み取り寄り）
Function Import	SAP OData function importの呼び出し
Custom Catalog	S3配置のユーザー定義カタログによる差し替え
API Allowlisting	プレフィックスまたはフルAPI名でアクセス範囲を制限
Service Hints	S3配置のヒントファイルでエージェントの利用最適化
二層認証	AgentCore Identityを介したOAuth 2.0（インバウンド・アウトバウンド双方）

CloudFormationテンプレートで「数分でデプロイ」可能、コンテナイメージ（ECR配布）として無償提供されます。

連携できるエージェント・クライアント

Amazon Quick
Strands SDKベースのカスタムエージェント
SAP Joule
その他MCP互換クライアント

SAPデータをエージェント経由で扱う際、書き込みはデフォルトで読み取り寄りに絞られている点、AgentCore Identityで二層のOAuth 2.0を強制している点は、ERP統合の現場感を踏まえた設計です。

なお、AWS for SAP MCP Serverの対応リージョン詳細は公式What's Newに明記がなく、AgentCore Runtimeの対応リージョンに準ずると考えるのが現状の妥当な解釈です（現時点では公式断定情報なし）。

料金｜AWS MCP Server本体は無料、課金はリソース実費のみ

料金体系は明快です。

項目	料金
AWS MCP Server 本体	無料（追加料金なし）
Agent Toolkit for AWS（Skills / Plugins / Rules含む）	無料
AWS for SAP MCP Server コンテナイメージ	無料
課金対象	エージェント経由で作成・操作したAWSリソース＋データ転送料金（標準のAWS料金）

公式表記は次のとおりです。

There is no additional charge for the AWS MCP server itself. You pay only for the AWS resources you create and any applicable data transfer costs.

ただし、エージェントが自律的にAPIを呼び出すため、想定外のリソース起動による課金リスクは増えます。最小権限のIAMロール設計と、AWS Budgetsによるアラート設定は事実上必須です。

対応リージョンと現時点の制約｜日本リージョン・PrivateLinkは未対応

GA時点の対応状況と制約を、エンタープライズ判断の観点で整理します。

対応リージョン

米国東部（バージニア北部）us-east-1
欧州（フランクフルト）eu-central-1

上記2リージョンのエンドポイントから、全AWSリージョンへのAPI呼び出しは可能です（例：us-east-1のMCPエンドポイントからap-northeast-1のEC2を操作）。リージョナルエンドポイントの例：

https://aws-mcp.us-east-1.api.aws/mcp

ただし、MCPサーバー自体の置き場所が日本にないため、レイテンシ・データ越境・規制対応の観点では現時点で慎重さが要ります。

GA時点の主な制約

制約	内容	影響
日本リージョン未対応	us-east-1 / eu-central-1のみ	レイテンシ・データ越境要件が厳しい用途は注意
VPCエンドポイント（PrivateLink）未対応	公式は「coming soon」、GA時点はパブリックエンドポイントのみ	閉域・規制業種は様子見が現実的
`run_script`のサンドボックス制約	IAM権限は継承するが、ネットワーク・ファイル・シェルへのアクセスは不可	ローカルファイル連携・外部API呼び出しはできない
OAuth 2.1統合にMCP Proxyが必要	IAM資格情報のブリッジをMCP Proxy for AWSが担う	クライアント側の追加コンポーネントが1つ増える
SAP MCPの書き込みは明示的有効化が必要	デフォルトは読み取り寄りの動作	安全側に倒れた設計。書き込みは意図的にオンにする運用が必要

3世代比較｜OSS版（awslabs/mcp）・Preview版・GA版

「すでにOSS版を使っているがGA版に移行すべきか」という疑問が多いため、3世代を比較しておきます。

項目	OSS版（awslabs/mcp）	Preview版（re:Invent 2025）	GA版（2026/5/6）
提供形態	ローカル / 自己ホスト	マネージド・リモート	マネージド・リモート
主なツール	ドキュメント検索中心	call_aws（限定API）・ドキュメント検索	call_aws（15,000+ API）／search_documentation／read_documentation／run_script
認証	ローカルAWS認証情報	IAM＋MCP Proxy	IAM SigV4＋MCP Proxy
IAMコンテキストキー	なし	なし	`aws:ViaAWSMCPService` / `aws:CalledViaAWSMCP`
CloudTrail監査	（ローカル分は別管理）	部分対応	完全対応（AWS-MCP名前空間あり）
運用	自分でアップデート	AWS運用	AWS運用
料金	無料	無料	無料（リソース実費のみ）
Skills / Plugins	個別リポジトリに分散	限定	40+ Skills・3 Pluginsを公式統合

新規導入はGA版一択です。OSS版を使っている既存環境は、CloudTrail監査の一元化とIAMコンテキストキーの恩恵を考えると、GA版への移行検討は早めにすべきタイミングです。

Claude Code / Cursorからの最短セットアップ

出典: Claude Code by Anthropic

GA版を使うための導入手順は、Claude Code・Cursorどちらでも基本同じです。

1. 前提ツールの導入

# uv（Python パッケージマネージャ）を導入
curl -LsSf https://astral.sh/uv/install.sh | sh

2. AWS認証情報を設定

既存のAWS CLI設定（~/.aws/credentials / ~/.aws/config）がそのまま使えます。MCPサーバーには最小権限のIAMロールを割り当てます。

3. `mcp.json`にAWS MCP Serverを登録

Claude Code / Cursorの設定ファイルに、AWS MCP Serverのエンドポイントを追記します（実際のクライアント側の指定はバージョンによって差があるため、公式ドキュメントの最新サンプルに合わせてください）。

{
  "mcpServers": {
    "aws": {
      "command": "uvx",
      "args": [
        "mcp-proxy-aws",
        "--endpoint",
        "https://aws-mcp.us-east-1.api.aws/mcp"
      ],
      "env": {
        "AWS_PROFILE": "agent-readonly"
      }
    }
  }
}

4. プラグイン（Agent Toolkit）の導入

Claude Code / Codexユーザーは、用途に合わせてプラグインをワンクリックで導入できます。

一般的なフルスタック開発 → AWS Core
データ基盤・分析 → AWS Data Analytics
Bedrock AgentCoreでのエージェント開発 → AWS Agents

5. 動作確認

エージェントに search_documentation で何か問い合わせる、次に call_aws でS3バケット一覧の取得など読み取り系の操作から試すのが安全です。

ローカルMCPの自作経験がある方はfreee MCPでクレジットカード仕訳を自動化する手順でMCP接続の感覚を掴むのにも役立ちます。

こんな企業・チームにおすすめ

AWS MCP Server GA版を「今すぐ」採用すべきチームと、「もう少し待つ」べきチームを整理します。

こんな企業におすすめ

us-east-1またはeu-central-1をメインで使っているチーム ─ レイテンシ・規制要件をクリアしやすい
Claude Code / Cursorをすでに開発標準にしている組織 ─ 既存ワークフローにそのまま乗る
CloudTrail・SCPで既にガバナンス基盤が整っている企業 ─ IAMコンテキストキーがそのまま活きる
エージェント経由のAWS操作を「監査可能な形で」標準化したい企業 ─ GA版の最大の価値はここ
SAP S/4HANAをAWS上で運用していて、AIエージェント連携を検討中の企業 ─ SAP MCPがそのまま使える

よくある質問

Q1. AWS MCP Serverは無料ですか？

MCPサーバー本体は無料です。Agent Toolkit for AWS（Skills / Plugins / Rules）も無料、AWS for SAP MCP Serverのコンテナイメージも無料です。課金対象はエージェント経由で実際に作成・操作したAWSリソースと、それに伴うデータ転送料金のみ。公式の標準AWS料金がそのまま適用されます。

Q2. 日本リージョン（東京）はいつ対応しますか？

2026年5月時点では未対応です。対応リージョンはus-east-1（バージニア北部）とeu-central-1（フランクフルト）の2つのみで、AWS公式から東京リージョン対応の具体的なロードマップは現時点で公表されていません。

Q3. VPC Endpoint（PrivateLink）には対応していますか？

GA時点では未対応で、AWS公式は「coming soon（近日対応予定）」と案内しています。具体的な日付は公表されていないため、閉域要件のある業務は当面パブリックエンドポイント運用、または対応待ちが現実的です。

Q4. OSS版（awslabs/mcp）からGA版に移行すべきですか？

新規導入はGA版一択、既存OSS版は移行検討を強く推奨します。GA版の最大の差はCloudTrail監査の一元化とIAMコンテキストキー対応で、エンタープライズ環境ではガバナンス上の利点が大きいためです。

Q5. Bedrock AgentCoreとAWS MCP Serverの関係は？

別物です。Bedrock AgentCoreはエージェントを構築・実行する基盤、AWS MCP Serverはエージェントから他システム（AWS API）に接続するためのインターフェースです。AWS for SAP MCP ServerはAgentCore Runtime上で動くため、両者を組み合わせた構成になっています。

Q6. Claude Code以外のクライアントでも使えますか？

使えます。MCPに対応するクライアントであれば原則すべて利用可能で、公式はClaude Code・Cursor・Codex・Kiro・Windsurf・Clineを明示的に挙げています。MCPプロトコル自体はオープンなため、自作のMCPクライアントからも接続できます。

Q7. エージェントが意図しない操作をするのが心配です

最小権限のIAMロール＋aws:ViaAWSMCPServiceを使った読み取り限定ポリシーから始めるのが定石です。本記事で示したサンプルポリシーのように、まずは削除系APIをDenyし、CloudTrailログを観察しながら段階的に緩める運用が公式推奨です。AIエージェント全般の安全運用はAIエージェントセキュリティガイドも参考になります。

まとめ｜エンタープライズAWS×AIエージェントの「公式ルート」が確立した

2026年5月のアップデートを要約すると、次の3点に集約されます。

AWS MCP ServerのGAで、AIエージェントによるAWS操作が「IAM＋CloudTrailの既存ガバナンス枠内」で扱えるようになった — 新規IAMコンテキストキー2種が決定打。
Agent Toolkit for AWSが親フレームワークとして整理され、MCP Server＋Skills＋Plugins＋Rulesの役割分担が明確になった — 公式の開発体験が一元化された。
AWS for SAP MCP ServerがBedrock AgentCore Runtime上でGAし、SAP×AIの公式ルートが完成した — ERP統合の現場にAIエージェントが入る基盤が整った。

一方、日本リージョン未対応・VPC Endpoint未対応という制約は明確にあり、対応待ちが必要な業種・要件もまだあります。

「いま入れるべき要件」と「待つべき要件」を切り分け、IAMポリシーとCloudTrail監査の基盤を整えた上で、まずは読み取り系の業務から段階導入していくのが、2026年5月時点の現実解です。

次に読むと判断が進む関連記事

MCP（Model Context Protocol）とは ─ そもそもMCPがどんな仕組みかを基礎から理解する
AIエージェントとは ─ エージェント全体の概念とAWS MCPの位置づけ
AIエージェントセキュリティガイド ─ IAM設計・監査ログ運用の前提知識
AIコーディングのセキュリティリスク ─ Claude Code / Cursor導入時の注意点
Claude Codeとは／ Cursorとは／ Kiroとは／ Windsurfとは ─ AWS MCP Serverと組み合わせる主要なAIコーディングエージェント
AIエージェント・フレームワークおすすめ ─ Bedrock AgentCoreを含めたエージェント基盤の選び方
A2A Protocolとは ─ MCPと併せて押さえておきたいエージェント間プロトコル