AWS MCP Server: Agentes de IA Seguros e Eficientes na Nuvem

Introdução: Elevando a Capacidade dos Agentes de IA na AWS

Como Engenheiro de Software Sênior e Arquiteto de Soluções na AITY, tenho explorado profundamente o potencial dos agentes de IA e das ferramentas de Model Context Protocol (MCP). Uma questão persistente era como conceder a esses agentes acesso real e autenticado à AWS sem comprometer a segurança, ou seja, sem entregar as "chaves do reino". Hoje, temos uma resposta robusta e é com satisfação que anuncio a disponibilidade geral do AWS MCP Server.

O AWS MCP Server é um servidor remoto gerenciado que oferece aos agentes de IA e assistentes de codificação acesso seguro e autenticado a todos os serviços AWS, por meio de um pequeno e fixo conjunto de ferramentas. Ele é parte integrante do Agent Toolkit for AWS, uma suíte que inclui o próprio servidor, skills e plugins para ajudar agentes de codificação a construir na AWS de forma mais eficaz e eficiente.

Principais Desafios dos Agentes de IA na AWS

Antes do AWS MCP Server, agentes de IA encontravam dificuldades significativas ao trabalhar com a AWS em profundidade:

• Dados de Treinamento Desatualizados: Dependem de informações que podem estar meses desatualizadas, desconhecendo serviços recentes como Amazon S3 Vectors, Amazon Aurora DSQL ou Amazon Bedrock AgentCore.
• Preferência por Ferramentas Inadequadas: Tendem a usar o AWS Command Line Interface (AWS CLI) para construir infraestrutura, em vez de ferramentas de IaC como AWS Cloud Development Kit (AWS CDK) ou AWS CloudFormation.
• Políticas IAM Excessivamente Permissivas: Produzem políticas do AWS Identity and Access Management (IAM) que são muito mais amplas do que o necessário, resultando em infraestrutura que funciona em uma demonstração, mas não está pronta para produção.

AWS MCP Server: A Solução para Acesso Seguro e Atualizado

O AWS MCP Server aborda esses desafios através de um conjunto compacto de ferramentas que não consomem a janela de contexto do seu modelo.

Recursos Essenciais e Novidades

Com a disponibilidade geral, o AWS MCP Server introduz capacidades poderosas:

• call_aws: Esta ferramenta executa qualquer uma das mais de 15.000 operações de API da AWS usando suas credenciais IAM existentes. Novas APIs são suportadas em dias.
• search_documentation e read_documentation: Recuperam documentação atualizada da AWS e melhores práticas em tempo de consulta, garantindo que o agente sempre trabalhe com informações em dia.
• Suporte a chaves de contexto IAM: Agora você não precisa de uma permissão IAM separada para usar o servidor e pode expressar acesso granular em uma política IAM padrão.
• Recuperação de documentação sem autenticação: Facilita o acesso à informação.
• Tokenização otimizada: Redução no número de tokens necessários por interação, crucial para fluxos de trabalho complexos.

Execução de Scripts Segura com run_script

A nova ferramenta run_script permite que o agente escreva um script Python curto, que é executado no lado do servidor em um ambiente isolado (sandbox).

• O sandbox herda suas permissões IAM, mas não tem acesso à rede. Isso permite que o agente processe dados sem acesso ao seu sistema de arquivos local ou a um shell.
• Para múltiplos chamadas de API e combinação de resultados, run_script permite encadear chamadas, filtrar respostas e computar resultados em uma única ida e volta, sendo mais rápido e eficiente em termos de contexto.

O Poder das Skills para Agentes Inteligentes

A transição de Agent SOPs para Skills é uma adição significativa. As Skills oferecem orientação e melhores práticas selecionadas para tarefas onde os agentes mais frequentemente cometem erros.

• Ajudam os agentes a concluir o trabalho mais rapidamente, usando práticas validadas, com menos erros e menos tokens, o que se traduz em economia de tempo e dinheiro.
• As Skills são contribuídas e mantidas pelas equipes de serviço da AWS, mantendo a lista de ferramentas curta e previsível, o que reduz a "alucinação" do agente e o mantém focado.

Benefícios para Clientes Corporativos

Para empresas, o AWS MCP Server oferece:

• Separação clara de permissões: É possível usar políticas IAM ou Service Control Policies (SCPs) para especificar que um usuário pode realizar operações mutáveis, enquanto o servidor MCP é restrito a ações somente leitura.
• Auditabilidade: As métricas do Amazon CloudWatch publicadas sob o namespace AWS-MCP permitem observar as chamadas do servidor MCP separadamente das chamadas diretas humanas, fornecendo a trilha de auditoria exigida pelas equipes de compliance. O Amazon CloudTrail captura todas as chamadas de API para um registro completo.

Na Prática: Um Exemplo de Uso

Vamos ilustrar o poder do AWS MCP Server com um cenário real. Imagine usar um modelo como Anthropic Opus 4.6 (com corte de conhecimento em maio de 2025) e perguntar sobre um serviço AWS lançado recentemente, como Amazon S3 Vectors (preview em julho de 2025, GA em dezembro de 2025).

Sem o AWS MCP Server, a pergunta "como posso armazenar embeddings no S3?" resultaria em respostas corretas, mas que não utilizam o S3 Vectors, pois o modelo não foi treinado com essa informação.

Com o AWS MCP Server, a situação muda drasticamente. Para utilizá-lo com um agente de codificação de IA que suporta MCP (como Claude Code, Kiro, Cursor), configuramos um proxy local, o MCP Proxy for AWS, que faz a ponte entre a autenticação IAM e OAuth 2.1.

Primeiro, garanta que uv esteja instalado:

curl -LsSf https://astral.sh/uv/install.sh | sh

Em seguida, adicione a configuração MCP:

claude mcp add-json aws-mcp --scope user \
'{"command":"uvx","args":["mcp-proxy-for-aws@latest","https://aws-mcp.us-east-1.api.aws/mcp","--metadata","AWS_REGION=us-west-2"]}'

Ao perguntar novamente "como posso armazenar embeddings no S3", o Claude Code, via AWS MCP Server, reconhece que possui uma ferramenta (aws___search_documentation) para responder. Após permissão, ele retorna a resposta precisa: "A AWS agora tem um serviço dedicado para isso: Amazon S3 Vectors...".

Disponibilidade e Custos

O AWS MCP Server está disponível hoje nas regiões AWS US East (N. Virginia) e Europa (Frankfurt) e pode fazer chamadas de API para qualquer região. Não há custo adicional pelo AWS MCP Server em si; você paga apenas pelos recursos AWS que criar e quaisquer custos aplicáveis de transferência de dados.

O AWS MCP Server funciona com Claude Code, Kiro, Cursor e qualquer cliente compatível com MCP.

A combinação de documentação atualizada, acesso autenticado à API e execução de scripts em ambiente isolado em um único servidor transforma o que um agente de IA pode realmente fazer na AWS. Estamos empolgados para ver o que sua equipe construirá com esta inovadora ferramenta.