AWS vừa công bố một cập nhật quan trọng giúp các agent AI (trợ lý lập trình) kết nối an toàn và dễ dàng hơn với các dịch vụ đám mây của AWS. Bằng cách tích hợp OAuth, doanh nghiệp có thể cho phép lập trình viên sử dụng các công cụ AI hiện đại để tự động hóa tác vụ trên AWS, trong khi vẫn duy trì các chính sách bảo mật và quản trị hiện có thông qua IAM.
AWS chính thức hỗ trợ OAuth cho MCP Server
Vào ngày 9 tháng 7 năm 2026, AWS đã giới thiệu hỗ trợ OAuth cho AWS MCP Server (Model Context Protocol Server). Cập nhật này cho phép các ứng dụng và agent AI xác thực và kết nối với tài nguyên AWS bằng chính thông tin đăng nhập và phương thức mà người dùng đã quen thuộc trên AWS Management Console hay AWS Command Line Interface (AWS CLI). Quá trình này diễn ra thông qua một trải nghiệm trên trình duyệt, sử dụng tiêu chuẩn ngành OAuth.
Phương thức đăng nhập mới này hỗ trợ đầy đủ các cấu hình hiện tại của doanh nghiệp, bao gồm AWS Identity and Access Management (IAM) federation, AWS IAM Identity Center, cũng như người dùng root và người dùng IAM.
Ngoài ra, AWS cũng giới thiệu một loạt công cụ bảo mật và quản trị mới, bao gồm: các global condition key mới cho OAuth, API để kiểm tra và thu hồi token, đăng ký client động, các thành phần mới trong AWS CloudTrail, và một API mới cho kết nối OAuth không cần giao diện (headless).
Lợi ích chính cho doanh nghiệp
Tăng cường bảo mật và quản trị tập trung
Một trong những lợi ích lớn nhất là khả năng tích hợp liền mạch với các cấu hình IAM hiện có. Doanh nghiệp không cần phải xây dựng lại hệ thống phân quyền. Mọi yêu cầu từ agent AI vẫn được đánh giá dựa trên các chính sách IAM, SCPs, permission boundaries và các cơ chế kiểm soát khác của tổ chức. Các công cụ mới như thu hồi token và các condition key dành riêng cho OAuth cung cấp cho quản trị viên khả năng kiểm soát chi tiết hơn đối với cách các agent được cấp quyền.
Nâng cao năng suất cho đội ngũ phát triển
Lập trình viên giờ đây có thể sử dụng các agent AI như Claude Code, Gemini hay các công cụ tương tự để tương tác trực tiếp và an toàn với các dịch vụ AWS. Thay vì thực hiện các tác vụ thủ công, họ có thể ra lệnh cho agent, ví dụ: “Triển khai một ứng dụng web serverless mẫu vào tài khoản AWS development của tôi”. Điều này giúp giảm đáng kể thời gian và công sức, cho phép đội ngũ tập trung vào việc phát triển các tính năng cốt lõi.
Hướng dẫn kết nối agent với AWS MCP Server
Quy trình kết nối một agent với AWS MCP Server rất đơn giản. Dưới đây là các bước thực hiện với ví dụ sử dụng Claude Code, nhưng các bước tương tự cũng áp dụng cho các agent khác có hỗ trợ Model Context Protocol (MCP).
Bước 1: Cấu hình endpoint của AWS MCP Server
Đầu tiên, lập trình viên cần chạy một lệnh đơn giản để thêm endpoint của AWS MCP Server vào cấu hình của agent.

Bước 2: Xem xét và phê duyệt yêu cầu ủy quyền
Lần đầu tiên agent cần truy cập AWS MCP Server, nó sẽ tự động mở một cửa sổ trình duyệt và chuyển hướng đến trang AWS Sign-In. Người dùng sẽ xác thực như bình thường, xem lại yêu cầu ủy quyền và phê duyệt truy cập. Nếu đã có một phiên đăng nhập AWS đang hoạt động, người dùng có thể sử dụng lại phiên đó mà không cần đăng nhập lại.

Bước 3: Bắt đầu sử dụng các công cụ AWS qua agent
Sau khi kết nối thành công, agent đã sẵn sàng để nhận lệnh. Lập trình viên có thể xác minh kết nối và bắt đầu yêu cầu agent thực hiện các tác vụ trên AWS.

Ví dụ, khi được yêu cầu triển khai một ứng dụng serverless, agent sẽ sử dụng AWS MCP Server để xác định tài khoản AWS đang hoạt động, xác nhận tài khoản đích và mô tả các tài nguyên dự định triển khai trước khi thay mặt người dùng thực hiện.

Các mô hình ủy quyền và quản lý truy cập
AWS Sign-In hỗ trợ hai mô hình ủy quyền để kết nối agent với AWS MCP Server:
- Ủy quyền tương tác (Interactive authorization): Dành cho các agent AI của lập trình viên, sử dụng xác thực qua trình duyệt.
- Ủy quyền không tương tác (Non-interactive/headless): Dành cho các ứng dụng và agent AI đã có sẵn thông tin xác thực AWS và không có quyền truy cập vào trình duyệt.
Việc cấp quyền cho một agent chỉ cho phép nó truy cập AWS MCP Server thay mặt bạn, chứ không cấp thêm cho agent bất kỳ quyền hạn nào trên AWS. Mọi yêu cầu vẫn được đánh giá bằng các chính sách IAM hiện có.
Giám sát toàn diện với AWS CloudTrail
Để đảm bảo khả năng giám sát và tuân thủ, mọi hoạt động liên quan đến OAuth đều được ghi lại trong AWS CloudTrail. Điều này bao gồm các yêu cầu ủy quyền, phát hành token, thu hồi token và các sự kiện kiểm tra token. Nhật ký CloudTrail cũng ghi lại các chi tiết như OAuth client, đích đến là AWS MCP Server, redirect URI, luồng ủy quyền và phiên đăng nhập liên quan.
Điều này cho phép các đội ngũ bảo mật giám sát việc sử dụng OAuth, điều tra hoạt động ủy quyền, phát hiện hành vi bất thường và tích hợp các sự kiện OAuth vào các quy trình kiểm toán, tuân thủ và ứng phó sự cố hiện có của họ.


