AWS MCP Server GA — AI 에이전트에게 AWS를 안전하게 여는 표준 인터페이스

AI 에이전트에게 AWS 작업을 시키는 가장 간단한 방법은 IAM 자격증명을 통째로 주는 것이다. 가장 위험한 방법이기도 하다. AWS MCP Server는 이 문제를 표준 인터페이스로 푼다.

2025년 11월 re:Invent에서 프리뷰로 공개된 AWS MCP Server가 GA(General Availability)됐다.

AWS MCP Server가 GA가 됐다

AWS MCP Server는 AI 코딩 에이전트에게 AWS API, 최신 문서, 운영 워크플로우를 **표준 인터페이스(MCP)**로 제공하는 서버다. Claude Code, Kiro, Cursor, Codex 등 MCP를 지원하는 에이전트라면 어디서든 연결할 수 있다.

AWS의 개발자 애드보킷 Sébastien Stormacq은 이렇게 설명했다:

AI 코딩 에이전트는 많은 작업에 이미 유용하지만, AWS를 어느 정도 깊이 있게 다룰 때 진짜 문제에 부딪힌다. 에이전트가 최신 AWS 문서에 접근하지 못하면 몇 달 된 학습 데이터에 의존하고, Amazon S3 Vectors, Amazon Aurora DSQL, Amazon Bedrock AgentCore 같은 서비스를 모를 수 있다.

에이전트에게 AWS를 가르치는 문제는 단순히 자격증명 전달이 아니다. 최신 문서 접근, 안전한 API 호출, 감사 가능한 운영 로그 세 가지를 동시에 해결해야 한다. MCP Server는 이 세 가지를 하나의 인터페이스로 묶는다.

[💡 잠깐! 이 용어는?] MCP(Model Context Protocol): Anthropic이 제안하고 업계가 채택하기 시작한 AI 에이전트-도구 연결 표준. 에이전트가 어떤 도구를 어떻게 호출하는지를 표준화해서 다양한 에이전트가 동일한 도구를 재사용할 수 있게 한다.

핵심 기능

GA 버전에서 확장된 기능들을 정리하면:

특히 문서 검색과 스킬 디스커버리는 AWS 자격증명 없이도 가능하다는 점이 중요하다. 에이전트가 "이 서비스는 이런 API가 있다"를 사전에 탐색하는 데 자격증명이 필요 없다는 뜻이다. 실제 API 호출 단계에서만 인증이 필요하다.

AWS MCP Server는 현재 Agent Toolkit for AWS의 일부로 오픈소스로 공개되어 있다.

설정 방법

Claude Code에 연결하는 방법은 커맨드 한 줄이다:

claude mcp add-json aws-mcp --scope user \
   '{"command":"uvx","args":["mcp-proxy-for-aws@latest","https://aws-mcp.us-east-1.api.aws/mcp","--metadata","AWS_REGION=us-west-2"]}'

mcp-proxy-for-aws가 중간에 낀다는 점을 주목해야 한다. AWS MCP Server는 OAuth 2.1만 지원하는데, 로컬 AWS 자격증명은 SigV4 인증 방식을 쓴다. Proxy가 이 둘 사이를 번역한다.

Claude Code
  → MCP Proxy for AWS (로컬 실행)
    → IAM 자격증명 → SigV4 서명 → OAuth 변환
      → AWS MCP Server (https://aws-mcp.*.api.aws/mcp)
        → AWS 서비스 API 호출

Cursor나 다른 MCP 클라이언트도 동일한 구조로 연결한다. MCP 프로토콜이 표준이기 때문에 에이전트마다 별도 통합을 만들 필요가 없다.

[💡 잠깐! 이 용어는?] SigV4(Signature Version 4): AWS가 사용하는 HTTP 요청 서명 방식. API 요청마다 IAM 자격증명을 기반으로 서명을 붙여서 위변조를 방지한다. AWS SDK를 쓰면 자동으로 처리되지만, MCP처럼 OAuth를 쓰는 인터페이스와는 호환되지 않아 Proxy가 필요하다.

보안과 거버넌스

에이전트에게 AWS 접근을 허용하는 것에서 핵심 우려는 통제 범위다. AWS MCP Server는 몇 가지 레이어로 이를 다룬다.

IAM 정책으로 에이전트 권한 제한:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:ListBucket",
        "lambda:InvokeFunction"
      ],
      "Resource": [
        "arn:aws:s3:::my-project-bucket/*",
        "arn:aws:lambda:us-east-1:123456789:function:my-function"
      ]
    }
  ]
}

에이전트 전용 IAM 역할을 만들고, 필요한 최소 권한만 부여하는 방식이다. 에이전트가 IAM 정책 밖의 작업을 시도하면 AWS가 차단한다.

감사 가능성:

• CloudTrail에 에이전트의 모든 API 호출이 기록된다
• CloudWatch 메트릭으로 에이전트 활동 모니터링이 가능하다

현실적인 우려도 있다. Ciena의 클라우드 솔루션 아키텍트 Darryl Ruggles는 "에이전트에게 AWS 접근 권한을 주는 것은 항상 유용성과 안전성 사이의 균형 잡기"라고 평했다. DevOps 엔지니어 Kunal Parsewar는 특정 작업이나 작업을 제한하는 게이트웨이가 없다는 점을 지적하기도 했다.

IAM 정책이 세밀하지 않으면 에이전트가 의도치 않은 리소스를 건드릴 수 있다는 점은 운영 팀이 직접 설계해야 하는 부분이다.

기존 도구와 비교

AWS에서 AI 에이전트 작업을 시키는 방법은 MCP Server 전에도 있었다:

MCP Server의 가장 큰 장점은 에이전트가 최신 AWS 문서에 실시간으로 접근한다는 점이다. 학습 데이터 기반으로 몇 달 된 API를 쓰는 대신, 현재 AWS 공식 문서를 참조해서 작업한다. 신규 서비스나 최근 업데이트된 API를 에이전트가 올바르게 사용할 수 있다는 의미다.

Ampt 창업자 Jeremy Daly는 이렇게 평했다: "AWS는 AI 코딩 에이전트의 기본 플랫폼이 되려고 열심히 시도하고 있다. 인증된 진입점을 개발자에게 제공하는 것은 현명한 시도지만, 서버리스 때만큼의 선점 우위는 없다."

정리

• AWS MCP Server GA: 프리뷰(2025년 11월)를 거쳐 정식 출시
• Claude Code, Cursor, Codex 등 MCP 지원 에이전트라면 어디서든 연결 가능
• IAM 정책으로 에이전트 권한 제어 + CloudTrail 감사 로그
• 샌드박스 Python 실행으로 멀티 스텝 AWS 작업 가능
• 문서 검색·스킬 디스커버리는 자격증명 없이도 사용 가능
• mcp-proxy-for-aws를 통해 로컬 IAM 자격증명을 OAuth로 변환
• 에이전트 전용 IAM 역할로 최소 권한 원칙을 적용하는 것이 운영의 핵심

참고:

• AWS 블로그 - AWS MCP Server is now generally available: https://aws.amazon.com/blogs/aws/the-aws-mcp-server-is-now-generally-available/
• InfoQ 기사: https://www.infoq.com/news/2026/05/aws-mcp-ga/
• Agent Toolkit for AWS (GitHub): https://github.com/aws/agent-toolkit-for-aws