Introdução: Agentes de IA e Controle de Acesso na AWS
Conforme agentes de IA se integram nos fluxos de trabalho de desenvolvimento na Amazon Web Services (AWS), surge um desafio importante: como conceder a esses agentes permissões para operar com recursos AWS sem criar modelos de controle de acesso paralelos e sem comprometer a segurança? A AWS respondeu a essa demanda durante o evento re:Invent 2025, apresentando quatro servidores gerenciados do Protocolo de Contexto do Modelo (MCP) em fase de visualização prévia.
A abordagem inovadora da plataforma oferece flexibilidade significativa: os agentes de IA trabalham com suas credenciais AWS existentes, aproveitando as mesmas políticas de Identidade e Acesso (IAM) já estabelecidas. Ao mesmo tempo, as organizações ganham a capacidade de implementar controles de governança específicos para diferenciar chamadas de API realizadas por agentes de IA daquelas executadas diretamente por desenvolvedores.
Os Servidores MCP Gerenciados da AWS
A AWS lançou quatro servidores remotos gerenciados do MCP: AWS, EKS e ECS, além do SageMaker. Diferentemente das implementações locais, esses servidores são hospedados e gerenciados pela AWS, eliminando a necessidade de instalação e manutenção manual. A plataforma oferece atualizações automáticas, resiliência, escalabilidade e auditoria completa através do AWS CloudTrail.
Por exemplo, o AWS MCP Server permite aos agentes de IA acessar documentação de AWS e executar chamadas para mais de 15 mil APIs disponíveis, possibilitando que realizem tarefas complexas e em múltiplas etapas, como configurar redes privadas virtuais (VPCs) ou estabelecer alarmes no Amazon CloudWatch.
Contextos de IAM Padronizados: O Cerne do Controle
O ponto central da solução reside em dois contextos de IAM padronizados que funcionam consistentemente em todos os servidores MCP gerenciados pela AWS:
As Duas Chaves de Contexto Principais
aws:ViaAWSMCPService (booleano) — Assume o valor verdadeiro quando a requisição provém através de um servidor MCP gerenciado pela AWS. Utilize essa chave para permitir ou negar todas as ações iniciadas pelo MCP.
aws:CalledViaAWSMCP (cadeia de texto, valor único) — Contém o identificador do serviço principal do servidor MCP (por exemplo, aws-mcp.amazonaws.com, eks-mcp.amazonaws.com, ecs-mcp.amazonaws.com). Empregue essa chave quando precisar permitir ou negar ações originadas de servidores MCP específicos. Conforme novos servidores MCP forem disponibilizados, esse campo incorporará seus identificadores, permitindo configurar acesso refinado aos recursos AWS através de políticas de IAM e de controle de serviço (SCP).
Implementando Políticas de Segurança em Camadas
Para organizações que desejam desabilitar completamente o acesso via servidores MCP em toda a organização ou em unidades organizacionais específicas, é possível utilizar uma política de controle de serviço (SCP) para negar ações quando acessadas através dos servidores MCP:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllActionsViaMCP", "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "Bool": { "aws:ViaAWSMCPService": "true" } } } ] }Em outro cenário, você pode autorizar agentes de IA utilizando o AWS MCP Server a ler baldes do Amazon Simple Storage Service (Amazon S3), mas recusar operações de exclusão. O AWS MCP Server fornece a ferramenta aws___call_aws, capaz de executar qualquer operação de API da AWS, incluindo operações de S3:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowS3ReadOperations", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": "*" }, { "Sid": "DenyDeleteWhenAccessedViaMCP", "Effect": "Deny", "Action": [ "s3:DeleteObject", "s3:DeleteBucket" ], "Resource": "*", "Condition": { "Bool": { "aws:ViaAWSMCPService": "true" } } } ] }Você também pode restringir o acesso apenas a servidores MCP específicos. Por ilustração, permitir operações EKS somente quando chamadas através do servidor MCP para EKS, não através do servidor MCP geral da AWS:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowEKSOperationsViaEKSMCP", "Effect": "Allow", "Action": "eks:*", "Resource": "*", "Condition": { "StringEquals": { "aws:CalledViaAWSMCP": "eks-mcp.amazonaws.com" } } }, { "Sid": "DenyEKSOperationsViaOtherMCP", "Effect": "Deny", "Action": "eks:*", "Resource": "*", "Condition": { "StringNotEquals": { "aws:CalledViaAWSMCP": "eks-mcp.amazonaws.com" } } } ] }Simplificação do Modelo de Autorização
Baseando-se em retorno dos clientes, a AWS está simplificando o modelo de autorização para funcionar de forma equivalente ao AWS Command Line Interface (AWS CLI) e aos SDKs que você já utiliza. A partir de breve, deixará de ser necessário separar ações de IAM específicas do MCP (como aws-mcp:InvokeMCP) para interagir com servidores MCP gerenciados pela AWS.
Nessa abordagem revisada, o servidor MCP adiciona os contextos padronizados de IAM (aws:ViaAWSMCPService e aws:CalledViaAWSMCP) à sua requisição e a encaminha ao serviço AWS a jusante. O servidor MCP continua autenticando a requisição utilizando SigV4 como antes. Posteriormente, o serviço a jusante realiza a verificação de autorização com base em suas políticas de IAM vigentes, que podem referenciar essas chaves de contexto para implementar controle refinado.
Isso signifi que seus agentes de IA funcionam com suas credenciais AWS existentes e com as permissões de nível de serviço, dispensando a necessidade de ações de IAM isoladas para MCP e diminuindo a complexidade operacional.
Segurança em Profundidade com VPC Endpoints
A AWS está desenvolvendo suporte para pontos de extremidade de nuvem privada virtual (VPC endpoints) nos servidores MCP gerenciados, atendendo à demanda de clientes em setores regulados que exigem controles a nível de rede. Organizações em segmentos como serviços financeiros e saúde necessitam de comunicação via rede privada para cumprir mandatos de conformidade.
Com os VPC endpoints, todo o tráfego de agentes de IA permanece na rede privada, eliminando exposição através da internet pública. Quando você configura um ponto de extremidade VPC, o servidor MCP realiza uma verificação de autorização no nível do endpoint VPC antes de encaminhar requisições aos serviços AWS a jusante. Isso estabelece uma estratégia de defesa em profundidade, onde você controla acesso tanto no perímetro de rede (VPC endpoint) quanto no nível de serviço (políticas de IAM).
Você pode combinar VPC endpoints com as chaves de contexto aws:ViaAWSMCPService e aws:CalledViaAWSMCP para implantar controles de segurança em camadas que satisfaçam os critérios específicos de governança e conformidade da sua organização. Detalhes adicionais sobre chaves de contexto e padrões de exemplo estarão disponíveis quando o suporte para VPC endpoints for lançado.
Considerações Importantes para Implementação
Ao executar a autorização de IAM para servidores MCP, você precisa tomar decisões sobre padrões de implementação, design de políticas e práticas operacionais. As seguintes recomendações podem ajudar na escolha da abordagem correta para seu ambiente:
Desenho de Políticas de IAM
Conceda apenas o acesso necessário e refine as políticas regularmente, removendo permissões não utilizadas ao longo do tempo. Use as chaves de contexto para diferenciar chamadas através de soluções de IA de ações diretas de desenvolvedores, mantendo uma postura de segurança coerente em sua infraestrutura.
Segurança e Conformidade
Os VPC endpoints ajudam a atender aos requisitos de comunicação de rede privada em setores regulados. Eles proporcionam um mecanismo adicional de segurança para ambientes que enfrentam exigências estritas de isolamento de rede e conformidade regulatória.
Iniciando a Jornada
Comece com o padrão de implementação que se alinha às suas necessidades atuais. Inicie com políticas de IAM restritivas e flexibilize-as conforme você compreenda melhor os requisitos de seus agentes de IA. Monitore os registros do CloudTrail para observar quais ações seus agentes de IA realizam e utilize esses dados para refinar suas políticas progressivamente.
Conclusão
A AWS entrega às organizações o controle necessário para governar o acesso de agentes de IA aos recursos AWS através dos Servidores MCP Gerenciados, utilizando as mesmas políticas de IAM e ferramentas nas quais você já confia. Os contextos padronizados de IAM (aws:ViaAWSMCPService e aws:CalledViaAWSMCP) estão disponíveis em todos os servidores MCP gerenciados pela AWS, oferecendo controle granular para diferenciar chamadas via soluções de IA de ações iniciadas por pessoas em nível de serviço.
Em lançamentos futuros, os servidores MCP gerenciados da AWS funcionarão sem a necessidade de ações de IAM isoladas através de endpoints públicos, simplificando a gestão de políticas de IAM. Haverá também suporte para VPC endpoints, com segurança aprimorada mediante autorização em duas fases e controles de perímetro de rede para organizações que exigem restrições de acesso adicionais.
Consulte a documentação específica de seu servidor MCP gerenciado para confirmar se oferece suporte ao novo modelo de autorização de endpoint público e aos VPC endpoints. Seja você desenvolvendo assistentes de codificação com IA ou construindo aplicações com agentes autônomos, comece a implementar esses controles hoje para proteger seus fluxos de trabalho de IA, mantendo ao mesmo tempo a flexibilidade de definir regras de acesso que reflitam a postura de segurança da sua organização.
Fonte
Understanding IAM for Managed AWS MCP Servers (https://aws.amazon.com/blogs/security/understanding-iam-for-managed-aws-mcp-servers/)
Leave a Reply