AIエージェントの権限管理 1: MCPサーバー・ ツールの Fine grained access control 編

Transcript

1. © 2026, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. © 2026, Amazon Web Services, Inc. or its affiliates. All rights reserved. AIエージェントの権限管理 1: MCPサーバー・ ツールの Fine grained access control 編 Renya Kujirada AI/ML Specialist Solutions Architect 2026/02/13 AI Agent Ready Data Platform

2. © 2026, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. ⾃⼰紹介 2 鯨⽥ 連也 アマゾン ウェブ サービス ジャパン合同会社 スペシャリスト ソリューションアーキテクト, AI/ML 前職 (NTT DATA) では、データサイエンティストとして、 深層学習モデル・AI Agent の開発に従事。 • 興味: AI Agent 開発, LLM 学習・推論 • 好きなサービス: Amazon SageMaker AI, Amazon Bedrock

3. © 2026, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 3 発表の背景と⽬的 今後、企業毎に数百・数千の Agent がデプロイされ、Agent が社内の多数のデータソースや API と 接続するようなことが多くなると考えられる。 セキュアに Agent にツールやデータを利⽤させるには Fine-grained access control (FGAC) が重要で ある。AgentCore を利⽤することで、FGAC を容易に実装できる。 本発表では、AgentCore を利⽤した3種の FGAC の実装パターンについて、Dive Deep する。

4. © 2026, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 4 発表のゴールとレベル • ゴール︓AgentCore を利⽤した、MCP サーバー・ツールの FGAC の実現⽅法を理解する • レベル︓L300

5. © 2026, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. © 2026, Amazon Web Services, Inc. or its affiliates. All rights reserved. • Agent 利⽤時の FGAC の重要性 • AgentCore Gateway について • AgentCore Gateway における MCP/ ツールのアクセス制御⽅法 • MCP サーバーのアクセス制御 (Gateway Inbound authorization) • ツールのアクセス制御 (Policy) • ツールのアクセス制御 (Gateway Interceptors) • 各⼿法の使い分け・⽐較 • まとめ アジェンダ 5

6. © 2026, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. © 2026, Amazon Web Services, Inc. or its affiliates. All rights reserved. Agent 利⽤時の Fine-grained access control (FGAC) の重要性 6

7. © 2026, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 7 Agent 利⽤時の FGAC 対象 Agent が MCP サーバー経由でデータ基盤にアクセスする際、ユーザー毎に制御すべき項⽬として (1) MCP サーバー、(2) ツール、(3) データの 3つが考えられる。 Agent User データ基盤 MCP Server Tool Tool Tool

8. © 2026, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 8 Agent 利⽤時の FGAC 対象 Agent が MCP サーバー経由でデータ基盤にアクセスする際、ユーザー毎に制御すべき項⽬として (1) MCP サーバー、(2) ツール、(3) データの 3つが考えられる。 Agent User データ基盤 MCP Server Tool Tool Tool 社内・特定のユーザーからの アクセスのみ許可 データの更新・削除ツール などは、管理者のみ実⾏許可 ユーザー毎に、参照可能な テーブル・列・データを制御

9. © 2026, Amazon Web Services, Inc. or its affiliates. All

   rights reserved. 9 本発表の制御スコープ 本発表では、(1) MCP サーバー、(2) ツール の Fine-grained access control (FGAC) について取り扱う。 Agent User データ基盤 MCP Server Tool Tool Tool 社内・特定のユーザーからの アクセスのみ許可 データの更新・削除ツール などは、管理者のみ実⾏許可 ユーザー毎に、参照可能な テーブル・列・データを制御

10. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 10 データ基盤 × Agent 連携の拡⼤ データ基盤と Agent を連携し、(ユーザーの代理で) Agent に⾃然⾔語でデータを取得・分析させる ユースケースは増加している。 Agent User データ基盤 ・X⽉ ~ Y⽉までの売上を集計して ・1週間のアクティブユーザーは︖ ・先⽉の A と B のコンバージョン率を⽐較して SQL を⽣成してデータをクエリ CLI 上で API を実⾏

11. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 11 MCP サーバーによるデータアクセス MCP サーバーを利⽤して、データを操作するツールを Agent に提供することで、Agent は⾃律的に データにアクセスできるようになる。 Agent User データ基盤 MCP Server # ツール⼀覧 • データの読み込み • データの書き込み • データの更新 • データの削除

12. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 12 MCP サーバーの活⽤に潜むリスク しかし、Agent によるツールの実⾏に対し、ユーザー毎の権限やデータスコープを制御 (FGAC) しなければ、Agent は意図しない操作を⾏うリスクがある。 Agent User データ基盤 MCP Server # リスク • 許可されていないデータ更新/削除 • PJ 外秘・機密データの閲覧 • ⾼コスト処理の実⾏

13. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 13 MCP サーバーにおける FGAC の課題 ⼀⽅で、MCP サーバー⾃体にはツール・データのアクセス制御機能がない。FGAC 実現のため、 (1) MCP サーバーの前段で認可レイヤーを実装する⽅法と、(2) MCP サーバーに Credential を渡して MCP ツール側で権限制御する⽅法が考えられる。 Agent Admin データ基盤 MCP Server User MCP サーバーの前段でユーザー毎に ツールの実⾏可否を制御 認可レイヤー Credential 各ユーザーの Credential で権限制御

14. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 14 MCP サーバーにおける FGAC の課題 ⼀⽅で、MCP サーバー⾃体にはツール・データのアクセス制御機能がない。FGAC 実現のため、 (1) MCP サーバーの前段で認可レイヤーを実装する⽅法と、(2) MCP サーバーに Credential を渡して MCP ツール側で権限制御する⽅法が考えられる。 Agent Admin データ基盤 MCP Server User 本発表のスコープ 認可レイヤー Credential 次回以降の Internal enablement で お話しします。

15. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 15 AgentCore を利⽤した FGAC AgentCore Gateway の Inbound 認証や、AgentCore Policy, Gateway Interceptors を利⽤することで、 MCP サーバーの前段で、認証ユーザー毎に MCP サーバー・ツールのアクセス制御をマネージドに 実現可能。 Agent データ基盤 MCP Server AgentCore Gateway AgentCore Policy MCP サーバーのアクセス制御 ツールのアクセス制御 AWS Lambda (request Interceptor) Inbound 認証 or Admin User

16. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. © 2026, Amazon Web Services, Inc. or its affiliates. All rights reserved. AgentCore Gatewayについて 16

17. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 17 AgentCore Gateway の概要 既存の API、Lambda 関数、Remote MCP サーバーを束ねて単⼀の MCP サーバーとして利⽤可能。 ⼤量の MCP サーバー・ツールの管理、各ツールの認証認可を⼀元的に⾏え、社内展開も容易に。 Agent MCP クライアント AgentCore Gateway OpenAPI 仕様の API AWS Lambda Amazon API Gateway MCP サーバー Smithy モデルによる API AgentCore Identity アイデンティティプロバイダー (Amazon Cognito, Okta, Microsoft Entra ID...) Inbound 認証 Outbound 認証 OAuth Authorization server (AS) 認可サーバーが公開 する JWK を⽤いて JWT を検証 Inbound OAuthトークン(JWT) Outbound • OAuthトークン • API キー • IAM ユーザーの代理 で認証トークン を発⾏

18. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 18 AgentCore Gateway のメリット 許可された MCP サーバーのみを AgentCore Gateway に登録することで、単⼀の MCP サーバー エンドポイントからセキュアかつ共通的に MCP ツールを利⽤可能。 User 1 MCP 1 AgentCore Gateway MCP 2 MCP n . . . 許可された MCP サーバー のみ登録し、⼀元管理 https://xxx.gateway.bedrock- agentcore.yyy.amazonaws.co m/mcp にアクセス User 2 . . . User n Inbound Authorization 認証されたユーザーのみ アクセス可能

19. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 19 Semantic Search ⼤量の MCP サーバーやツールに接続すると、Agent のコンテキスト逼迫や、類似ツールの誤⽤など の課題が発⽣する。Semantic Search により、関連するツールの情報のみ取得することができる。 AgentCore Gateway Semantic Search無し Search: 「SNS のポストを作成する」 MCP 1 100 ツール MCP 2 100 ツール MCP 3 100 ツール list/tools 最も関連性の⾼い N 件のツールを返却 300 件のツールを全て返却 Semantic Search利⽤時

20. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 20 Semantic Search (補⾜) ツールの情報を全て静的に読み込まず、必要なタイミングで動的に読み込む⼿法 (遅延読み込み) は Progressive disclosure (段階的な開⽰) と呼ばれ、Anthropic のブログでも紹介されている。 https://www.anthropic.com/engineering/code-execution-with-mcp

21. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. © 2026, Amazon Web Services, Inc. or its affiliates. All rights reserved. AgentCore Gateway における MCP サーバー / ツールのアクセス 制御⽅法 21

22. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 22 MCPサーバー・ツールのアクセス制御⽅法 (1) Inbound authorization, (2) AgentCore Policy, (3) Gateway interceptors の 3 つに⼤別される。 ツールのアクセス制御の粒度や、実現できる内容やカスタマイズ性、実装容易性が異なる。 # 項⽬ 概要 カスタ マイズ性 実装 容易性 1 Inbound authorization JWT を基に Gateway (MCP サーバー) の利⽤可否のみ 制御可能。 △ ◎ 2 AgentCore Policy JWT とリクエスト内容を基に MCP サーバーの 各ツールの利⽤可否を容易に制御可能。 ◯ ◯ 3 Gateway interceptors JWT、リクエスト内容、外部情報を基に MCP サーバーの 各ツールの利⽤可否を制御可能。MCPの⼊出⼒の加⼯も可能。 ◎ △

23. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. © 2026, Amazon Web Services, Inc. or its affiliates. All rights reserved. MCP サーバーのアクセス制御 23

24. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 24 Inbound authorization (Inbound 認証) とは AgentCore Identity が提供する機能であり、AgentCore Gateway に対する認証認可を実現できる。 認証タイプには、JWT, IAM, 認証無しを選択可能。 AgentCore Gateway Target (MCP Tools) JWT token with claim AgentCore Identity IdP Inbound Authorization ② 認証されてないユーザーの場合、 AgentCore Gateway へのアクセス を拒否 ① AgentCore Gateway に対して ツール実⾏のリクエスト 登録する MCP Server や API は ⼀つでも問題ない。

25. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 25 JWT のカスタム属性を検証したきめ細やかな制御 アクセストークン (JWT) のクレーム内のカスタム属性を検証し、ユーザーのテナント情報を基に、 AgentCore Gateway へのアクセスをきめ細やかに制御可能。 AgentCore Gateway Target (MCP Tools) { “role”: admin, “client_id”: “xxxxx”, “scope”: “yyyyy”, ... } AgentCore Identity Inbound Authorization admin のみアクセス可能 Admin User { “role”: user, “client_id”: “xxxxx”, “scope”: “yyyyy”, ... } JWT JWT

26. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 26 Inbound 認証の JWT 検証設定⽅法 AgentCore Gateway 作成・更新時に、パラメータ “customClaims” にて設定する。 以下では、JWT のカスタム属性 “role” が “admin” の場合にアクセス許可している。 検証対象のカスタム属性 “admin” と⼀致するか検証 create_gateway API の 引数 authorizerConfiguration で設定

27. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. © 2026, Amazon Web Services, Inc. or its affiliates. All rights reserved. MCP ツールのアクセス制御 27

28. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. © 2026, Amazon Web Services, Inc. or its affiliates. All rights reserved. AgentCore Policy 28

29. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 29 AgentCore Policy とは (1/2) AgentCore Gateway に登録したツールに対し、FGAC を実現するサービス。ユーザー毎に実⾏可能な ツールを制御することができ、許可されていないツールの実⾏を拒否する。 AgentCore Gateway IdP Lambda Target (MCP Tools) AgentCore Policy JWT token with claim attatched If allowed ② User A は、ツール B のみ実⾏可能。 リクエストパラメーターは XX 以下 である必要あり。 User A ① ツール A を実⾏したい ③ ツール A 実⾏リクエストを拒否

30. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 30 AgentCore Policy とは (2/2) ユーザーの list/tools リクエストに対し、実⾏許可されたツールの情報のみ開⽰する。 Agent に不要なコンテキストを与えないことで、無駄な Tool Call を防⽌できる。 AgentCore Gateway IdP Lambda Target (MCP Tools) AgentCore Policy list/tools attatched If allowed ② User A は、ツール B のみ実⾏可能。 リクエストパラメーターは XX 以下 である必要あり。 User A ① 利⽤可能なツールの ⼀覧を取得したい ③ ツール B の情報のみ開⽰ filter out tools

31. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 31 AgentCore Policy の構成要素 Policy Engine と Policy から構成される。 AgentCore Gateway Target (MCP Tools) JWT token with claim If allowed IdP AgentCore Policy Allow if context.input < 100 and group=“Admin” attached Policy Policy Engine filter out tools Policy で、ツール毎にどの条件 (ユーザー・引数) でアクセスで きるかを制御 Policy で実⾏許可されてないツールは ユーザーに開⽰しない

32. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 32 Policy Engine とは 複数の Policy を定義・管理するためのコレクションであり、定義された Policy に基づき、 ツールの呼び出しをリアルタイムで評価・認可する。 Policy 1 Policy Engine Policy 2 AgentCore Gateway attached Policy は複数定義可能 Policy Engine は⼀つのみ Gateway にアタッチ可能

33. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 33 Policy とは Cedar というポリシー⾔語で記述された認可のルール。「誰が」「どのツールを」「どの条件で」 実⾏できるかを定義可能。 Admins グループに属する全てのユーザーに対し、「GatewayTarget___ToolName」というツールを 実⾏することを許可する。 誰がどのツールに アクセスできるか 認可の条件

34. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 34 AgentCore Policy の NL2Cedar ⾃然⾔語で Cedar ポリシーを⽣成する機能。 NL2Cedar を利⽤することで、Policy のベースライン を作成することが可能。 ※2026/1/30時点において、⾃然⾔語は英語のみ対応とドキュメントには記載があるが、⽇本語でも利⽤可能 https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/policy.html#policy-features

35. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. © 2026, Amazon Web Services, Inc. or its affiliates. All rights reserved. Gateway Interceptors 35

36. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 36 Gateway Interceptors とは AgentCore Gateway のリクエストとレスポンスを Lambda で処理・変換することで、利⽤者毎に 実⾏可能なツールの制御に加え、認可のカスタマイズ、データの保護を実現することができる機能。 AgentCore Gateway Target (MCP Tools) ①JWT token with claim ③If allowed IdP Inbound Authorization AWS Lambda (request Interceptor) AWS Lambda (response Interceptor) ②authorize tool execution ④filter out tools リクエストの処理・変換 レスポンスの処理・変換

37. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 37 request interceptor / response interceptor AgentCore Gateway の⼊⼒の処理には request interceptor を、出⼒の処理には response interceptor を利⽤します。各 interceptor はどちらか⽚⽅のみを利⽤することも可能。 AgentCore Gateway Target (MCP Tools) IdP Inbound Authorization AWS Lambda (request Interceptor) AWS Lambda (response Interceptor) ①JWT token with claim ③If allowed ②authorize tool execution ④filter out tools ツールのアクセス制御ロジックを Lambda で実装 実⾏許可されてないツールの情報や PII をユーザーに開⽰しないように Lambda で実装

38. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 38 request interceptors の変換イメージ ツールの実⾏可否に応じて、request interceptor は "transformedGatewayRequest"（許可時）または "transformedGatewayResponse"（拒否時）を出⼒する。 オリジナルのリクエスト 変換後のリクエスト (tool実⾏許可) 変換後のリクエスト (tool実⾏拒否) body は変化なし

39. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 39 Gateway Interceptors のユースケース Lambda の実装次第で様々なことを実現することができる。 利⽤例 説明 実装箇所 ツール利⽤の Fine-grained access control JWT の内容を基に、利⽤ユーザー毎に、Agent が実⾏ 可能なツールの権限を制御 request interceptor データ保護 Amazon Bedrock Guardrails などを利⽤し、MCP の 実⾏結果に含まれる PII や機密情報を除去 response interceptor カスタムヘッダーによる 認証情報の伝播 最⼩権限の JWT やテナント情報を MCP に渡し、 テナント分離を実現 request interceptor 認可のカスタマイズ 利⽤するツール毎に認可ロジックを Lambda 上で実装 request interceptor スキーマ変換 MCP のツールの⼊出⼒の仕様変更発⽣時、 gateway inteceptors 内で変更を吸収 request interceptor / response interceptor MCP の⼊出⼒の監視 MCP のリクエストとレスポンスが異常な場合、 アラートを上げる request interceptor / response interceptor

40. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 40 request interceptor によるツールの実⾏可否の制御 ユーザー毎に、利⽤可能なツールを制御可能。JWT のクレーム (scope等) を基に、許可されてない ツールを Agent が実⾏することを防⽌することができる。 AgentCore Gateway User / Agent I nb o u n d J W T MCP request Gateway request interceptor ① リクエストのアクセストークン(JWT)をデコード ② JWTのクレームからユーザー情報・スコープを取得 ③ スコープを基に、ツールの実⾏可否を動的に決定 -> 許可されている場合はツール実⾏するように変換 -> 許可されてない場合はエラーを返すように変換 Agent Transformed request (pass request) Insufficient permission error 許可されたツールのみ実⾏ ツール A を 実⾏したい Scope: Tool A, B, C

41. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 41 request interceptors の変換イメージ (再掲) ツールの実⾏可否に応じて、request interceptor は "transformedGatewayRequest"（許可時）または "transformedGatewayResponse"（拒否時）を出⼒する。 オリジナルのリクエスト 変換後のリクエスト (tool実⾏許可) 変換後のリクエスト (tool実⾏拒否) body は変化なし

42. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 42 response interceptor によるツール情報の絞り込み MCP の list_tools の結果を絞ることで、Agent は権限のないツールを実⾏することがなくなる。 不要な Tool Call が減るので、Agent の振る舞いに無駄がなくなる。 AgentCore Gateway User / Agent Original response Gateway response interceptor Transformed response ① レスポンスのアクセストークン(JWT)をデコード ② JWTのクレームからユーザー情報・スコープを取得 ③ スコープを基に、Agent に開⽰するツールの情報を動的に決定 (スコープ外の情報は削除) Agent 実⾏可能なツールの情報 のみ受け取る • Tool A • Tool B • Tool C • Tool A MCP Server の list/tools の実⾏結果 (全てのツー ルの情報) を返す

43. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 43 response interceptors の変換イメージ ツールの実⾏可否に応じて、list/tools の実⾏結果をフィルタリングする。 オリジナルのリクエスト 変換後のリクエスト (全ツール表⽰) 変換後のリクエスト (許可されたツールのみ表⽰) body は変化なし ⼀部のツールの情報を除去 簡単のため、レスポンスの ⼀部のみ掲載

44. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. © 2026, Amazon Web Services, Inc. or its affiliates. All rights reserved. 各⼿法の使い分け・⽐較 44

45. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 45 制御のきめ細やかさ / 実装容易性 Gateway 単位の制御で良ければ Inbound 認証、ツール単位の制御には基本的に Policy を利⽤する。 外部 DB の情報等を利⽤した複雑な制御ロジックを実装する場合は Interceptors を利⽤する。 ⽐較項⽬ (1) Inbound 認証 (2) AgentCore Policy (3) Gateway Interceptors 制御の粒度 Gateway 単位 ツール単位 ツール単位 認可時の評価対象 JWT ・JWT ・ツールの引数情報 ・JWT ・ツールの引数情報 ・外部情報 (Lambdaからアクセス) 実装容易性 ◎（設定のみ） ◯（Cedar の記述が必要） △ (Lambda の実装が必要) tools/list の結果の フィルタリング ✗ 不可 ◎ ⾃動適⽤ ◯ 要実装

46. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 46 カスタマイズ性 複雑なアクセス制御ロジックを利⽤したい場合や、MCP サーバーへの⼊出⼒に⼯夫を導⼊したい場合 は Interceptors を利⽤する。 ⽐較項⽬ (1) Inbound 認証 (2) AgentCore Policy (3) Gateway Interceptors アクセス制御ロジック のカスタマイズ性 △ (限定的) ◯ (Cedar で柔軟に定義可能) ◎ (Lambda で任意のロジックを 実装可能) リクエストへの⼯夫 ✗ 不可 ✗ 不可 ◯ 要実装 レスポンスへの⼯夫 ✗ 不可 ✗ 不可 (list/tools のみフィルタ リング) ◯ 要実装

47. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. © 2026, Amazon Web Services, Inc. or its affiliates. All rights reserved. おわりに 47

48. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 48 まとめ AgentCore Gateway を利⽤した MCP サーバー・ツールのアクセス制御⽅法について解説した。 各⼿法を適宜使い分ける・併⽤することが重要である。 ⽐較項⽬ (1) Inbound 認証 (2) AgentCore Policy (3) Gateway Interceptors 制御の粒度 △ (Gateway 単位) ◯ (ツール単位) ◯ (ツール単位) カスタマイズ性 △ (限定的) ◯ (Cedar で柔軟に定義可能) ◎ (Lambda で任意のロジックを 実装可能) ユースケース Gateway 単位のアクセス制御 (例: 社内/社外ユーザーの区別) ツール単位の宣⾔的なアクセス制御 (例: ロールに基づくツール利⽤許可) ⾼度なカスタマイズを伴う制御 (例: 外部 DB との連携、複雑な認 可ロジック、PII 除去、⼊出⼒の監 視、MCP サーバーへの情報伝播)

49. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 49 次回予告 (未定) Agent 利⽤時におけるデータの FGAC についても、検証次第 internal enablement を⾏う予定です。 Agent User データ基盤 MCP Server Tool Tool Tool ユーザー毎に、参照可能な テーブル・列・データを制御

50. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 50 より Dive Deep したい⽅は AWS Japan の Zenn にて、検証記事や CDK の実装を公開しているので、ぜひご覧下さい。 https://zenn.dev/aws_japan/articles/003-bedrock-agentcore-policy-fgac https://zenn.dev/aws_japan/articles/002-bedrock-agentcore-interceptor

51. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. Thank you! © 2026, Amazon Web Services, Inc. or its affiliates. All rights reserved.

52. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. © 2026, Amazon Web Services, Inc. or its affiliates. All rights reserved. Appendix 52

53. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. © 2026, Amazon Web Services, Inc. or its affiliates. All rights reserved. サンプルアーキテクチャ 53

54. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 54 (1) AgentCore Gateway Inboud authorization 認証認可サーバー (Amazon Cognito) AgentCore Gateway User Client AWS Cloud Remote MCP Server (AgentCore Runtime) AgentCore Identity Amazon Cognito AWS Lambda (pre token generation) Inbound Authorization

55. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 55 (2) AgentCore Policy 認証認可サーバー (Amazon Cognito) AgentCore Gateway User Client AWS Cloud Remote MCP Server (AgentCore Runtime) AgentCore Identity Amazon Cognito AWS Lambda (pre token generation) Inbound Authorization AgentCore Policy

56. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 56 (3) AgentCore Gateway interceptors 認証認可サーバー (Amazon Cognito) AgentCore Gateway User Client AWS Lambda (Interceptor) AWS Lambda (Interceptor) AWS Cloud Remote MCP Server (AgentCore Runtime) AgentCore Identity Amazon Cognito 入力 出力 AWS Lambda (pre token generation) Inbound Authorization

57. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. © 2026, Amazon Web Services, Inc. or its affiliates. All rights reserved. その他 57

58. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 58 MCPサーバー・ツールのアクセス制御⽅法 (1) Inbound authorization, (2) AgentCore Policy, (3) Gateway interceptors の 3 つに⼤別される。 (1) Inbound authorization (2) AgentCore Policy (3) Gateway interceptors AgentCore Runtime & Gateway AgentCore Identity IdP JWT authorizer JWT scope: “read” tenant_id: ABC Allow if tenant_id=“ABC” AgentCore Gateway IdP Request refund: $200 AgentCore Policy JWT group: “Admin” scope: “read” tenant_id: ABC Allow if refund < 100 and group=“Admin JWT authorizer Allow if tenant_id=“ABC” AgentCore Gateway IdP Request refund: $200 JWT group: “Admin” scope: “read” tenant_id: ABC JWT authorizer Allow if tenant_id=“ABC” Gateway interceptors Tools access control, schema translation, data sanitization /mcp /mcp /mcp 制御の粒度 ⼤まか 細かい

59. © 2026, Amazon Web Services, Inc. or its affiliates. All

    rights reserved. 59 (応⽤) AgentCore Policy と Gateway Interceptors の併⽤ ツールのアクセス制御には Policy を、その他のMCPサーバーの⼊出⼒への⼯夫には Interceptors を 利⽤するなど、併⽤することも可能。 Agent User AgentCore Gateway AgentCore Policy ・ツールのアクセス制御 ・list/tools のフィルタリング AWS Lambda (request Interceptor) AWS Lambda (request Interceptor) ・カスタムヘッダーによるパラメータの伝播 ・外部DBからデータ取得 ・⼊⼒の監視（Anomaly Detect） ・PII 除去 ・MCP のレスポンスの整形