Khi các agent AI trở thành một phần trong quy trình phát triển trên Amazon Web Services (AWS), doanh nghiệp muốn chúng hoạt động với các quyền hiện có của AWS Identity and Access Management (IAM), thay vì phải xây dựng một mô hình phân quyền riêng biệt. Đồng thời, doanh nghiệp cũng cần sự linh hoạt để áp dụng các biện pháp kiểm soát quản trị khác nhau khi một agent AI thực hiện lệnh gọi API so với khi một lập trình viên thực hiện trực tiếp. AWS đã giới thiệu các khóa ngữ cảnh IAM (IAM context keys) mới, một mô hình ủy quyền đơn giản hóa, và sắp tới là hỗ trợ VPC endpoint để giải quyết bài toán này.
Tổng quan
Tại sự kiện re:Invent 2025, AWS đã ra mắt bản xem trước (preview) của bốn máy chủ MCP (Model Context Protocol) từ xa do AWS quản lý, bao gồm AWS, EKS, ECS và SageMaker. Các máy chủ này giúp agent AI thực hiện các tác vụ đa bước như thiết lập VPC hay cấu hình cảnh báo Amazon CloudWatch. Dựa trên phản hồi của khách hàng, AWS đã giới thiệu hai khóa ngữ cảnh IAM được chuẩn hóa là aws:ViaAWSMCPService và aws:CalledViaAWSMCP. Các khóa này cho phép doanh nghiệp phân biệt giữa các lệnh gọi API do agent AI khởi tạo và do con người thực hiện, từ đó triển khai bảo mật theo chiều sâu và đáp ứng các yêu cầu tuân thủ.
Ngoài ra, AWS cũng đang đơn giản hóa mô hình ủy quyền. Sắp tới, người dùng sẽ không cần các hành động IAM dành riêng cho MCP (như aws-mcp:InvokeMCP) để tương tác với các máy chủ MCP do AWS quản lý. Điều này giúp giảm chi phí cấu hình và thống nhất cách hoạt động với AWS Command Line Interface (AWS CLI) và các bộ SDK. Trong tương lai, AWS sẽ bổ sung hỗ trợ VPC endpoint cho các máy chủ MCP, cho phép kết nối trực tiếp từ VPC của bạn để tăng cường an ninh mạng.
Phân biệt hành động của AI và người dùng bằng IAM
Để cung cấp khả năng kiểm soát chi tiết đối với các giải pháp AI sử dụng máy chủ MCP, AWS đã giới thiệu hai khóa ngữ cảnh IAM chuẩn hóa, hoạt động nhất quán trên tất cả các máy chủ MCP do AWS quản lý:
- aws:ViaAWSMCPService (boolean): Được đặt thành
truekhi yêu cầu đến thông qua một máy chủ MCP do AWS quản lý. Dùng khóa này để cho phép hoặc từ chối tất cả các hành động do MCP khởi tạo. - aws:CalledViaAWSMCP (string): Chứa tên định danh chính của dịch vụ (service principal name) của máy chủ MCP (ví dụ:
aws-mcp.amazonaws.com). Dùng khóa này để cho phép hoặc từ chối các hành động từ các máy chủ MCP cụ thể.
Các tổ chức muốn vô hiệu hóa hoàn toàn quyền truy cập máy chủ MCP có thể sử dụng chính sách kiểm soát dịch vụ (Service Control Policy – SCP) để từ chối các hành động khi được truy cập thông qua máy chủ MCP. Ví dụ, chính sách sau sẽ từ chối các hành động khi aws:ViaAWSMCPService là true:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"Bool": {
"aws:ViaAWSMCPService": "true"
}
}
}
]
}
Một ví dụ khác, bạn có thể cho phép agent AI sử dụng AWS MCP Server đọc các bucket trên Amazon S3 nhưng từ chối các hoạt động xóa. Công cụ aws___call_aws do AWS MCP Server cung cấp có thể thực thi bất kỳ hoạt động API nào của AWS, bao gồm cả các hoạt động trên Amazon S3.
Bạn cũng có thể hạn chế quyền truy cập vào các máy chủ MCP cụ thể do AWS quản lý. Ví dụ, chỉ cho phép các hoạt động EKS khi được gọi thông qua máy chủ EKS MCP, chứ không phải thông qua máy chủ AWS MCP chung.
Đơn giản hóa mô hình ủy quyền cho endpoint công cộng
Dựa trên phản hồi, AWS đang đơn giản hóa mô hình ủy quyền để hoạt động tương tự như AWS CLI và các SDK mà doanh nghiệp đã quen thuộc. Sắp tới, máy chủ MCP sẽ thêm các khóa ngữ cảnh IAM chuẩn hóa (aws:ViaAWSMCPService và aws:CalledViaAWSMCP) vào yêu cầu của bạn và chuyển tiếp đến dịch vụ AWS hạ nguồn. Máy chủ MCP vẫn sẽ xác thực yêu cầu của bạn bằng SigV4 như trước. Giờ đây, dịch vụ hạ nguồn sẽ thực hiện kiểm tra ủy quyền bằng các chính sách IAM hiện có của bạn, vốn có thể tham chiếu các khóa ngữ cảnh này để kiểm soát chi tiết. Điều này có nghĩa là các agent AI của bạn hoạt động với thông tin xác thực AWS và quyền cấp dịch vụ hiện có, loại bỏ nhu cầu về các hành động IAM dành riêng cho MCP và giảm chi phí cấu hình. Sơ đồ sau minh họa luồng ủy quyền đơn giản hóa này hoạt động như thế nào:
Sử dụng IAM với máy chủ MCP và VPC endpoint
Đối với các khách hàng trong các ngành được quản lý chặt chẽ như dịch vụ tài chính và y tế, AWS sẽ bổ sung hỗ trợ VPC endpoint cho các máy chủ MCP trong tương lai. Doanh nghiệp có thể sử dụng VPC endpoint để giữ toàn bộ lưu lượng truy cập của agent AI trong mạng riêng của mình, loại bỏ việc tiếp xúc qua internet công cộng. Khi bạn cấu hình một VPC endpoint, máy chủ MCP sẽ thực hiện kiểm tra ủy quyền ở cấp VPC endpoint trước khi chuyển tiếp yêu cầu đến các dịch vụ AWS hạ nguồn. Điều này tạo ra một phương pháp bảo mật theo chiều sâu, nơi bạn kiểm soát quyền truy cập ở cả vành đai mạng (VPC endpoint) và cấp độ dịch vụ (chính sách IAM).
Những điểm cần cân nhắc
Khi triển khai ủy quyền IAM cho máy chủ MCP, doanh nghiệp cần đưa ra quyết định về các mẫu triển khai, thiết kế chính sách và thực tiễn vận hành. Dưới đây là những cân nhắc chính:
- Thiết kế chính sách IAM: Chỉ cấp quyền truy cập cần thiết và tinh chỉnh chính sách, loại bỏ các quyền truy cập không sử dụng theo thời gian. Sử dụng các khóa ngữ cảnh để phân biệt các lệnh gọi sử dụng giải pháp AI với các hành động trực tiếp của lập trình viên.
- Bảo mật và tuân thủ: VPC endpoint giúp đáp ứng các yêu cầu về giao tiếp mạng riêng trong các ngành được quản lý chặt chẽ.
- Bắt đầu: Bắt đầu với các chính sách IAM hạn chế và nới lỏng chúng khi bạn hiểu rõ hơn về yêu cầu của các agent AI. Theo dõi nhật ký CloudTrail để xem các agent AI của bạn thực hiện những hành động nào và sử dụng dữ liệu đó để tinh chỉnh chính sách của bạn theo thời gian.
Kết luận
Giờ đây, doanh nghiệp đã có thể kiểm soát quyền truy cập của agent AI vào tài nguyên AWS thông qua AWS-managed MCP Server bằng chính các chính sách và công cụ IAM mà bạn đã tin tưởng. Các khóa ngữ cảnh IAM chuẩn hóa (aws:ViaAWSMCPService và aws:CalledViaAWSMCP) đã khả dụng trên tất cả các máy chủ MCP do AWS quản lý, cho phép bạn kiểm soát chi tiết để phân biệt các lệnh gọi từ AI và từ người dùng. Trong các bản phát hành sắp tới, các máy chủ MCP do AWS quản lý sẽ hoạt động mà không cần các hành động IAM riêng biệt qua các endpoint công cộng và đơn giản hóa việc quản lý chính sách IAM của bạn. AWS cũng sẽ cung cấp hỗ trợ cho VPC endpoint với bảo mật nâng cao thông qua ủy quyền hai giai đoạn và kiểm soát vành đai mạng cho các khách hàng cần các hạn chế truy cập bổ sung.
