AWS 推出 Bedrock AgentCore Runtime 集成 MCP 协议,自然语言直接调用 AWS CLI 命令
AWS 发布新方案,通过 Bedrock AgentCore Runtime 的 MCP 支持,将 Amazon Quick 与 AWS API MCP Server 连接,实现用自然语言查询 EC2 实例、管理资源,无需切换工具或记忆 CLI 语法。本文详解架构、部署步骤和成本,适合 DevOps 和 SRE 关注。
一句话看懂
AWS 推出 Bedrock AgentCore Runtime 的 MCP 集成,让用户通过自然语言直接调用 AWS CLI 命令,无需切换控制台或记忆语法。
详细发生了什么
AWS 官方博客发布了一篇技术方案,展示了如何利用 Amazon Bedrock AgentCore Runtime 的 Model Context Protocol (MCP) 支持,将 Amazon Quick 企业级 AI 助手与 AWS API MCP Server 连接。核心思路是:用户用自然语言提问(如“显示 us-east-1 所有运行中的 EC2 实例”),系统自动将其转换为 AWS CLI 命令并执行,结果以结构化格式返回。
整个流程涉及 Amazon Cognito 进行 OAuth 2.0 认证、Bedrock AgentCore Runtime 进行授权和路由、以及 AWS API MCP Server 将自然语言翻译为 CLI 命令。所有操作都在用户现有 IAM 权限范围内执行,并生成 CloudWatch 审计日志。
方案预估成本:单个企业用户每月约 500 次查询,费用约 $292/月,主要来自 Amazon Quick 订阅($40/用户/月)和基础设施费($250/账户/月)。部署时间约 30-45 分钟。
中文圈视角
对于国内 AWS 用户,这个方案有几点值得关注:
-
可用性:Amazon Quick 目前主要面向企业客户,国内用户需要 AWS 中国区或全球账号,且 Amazon Quick Enterprise 订阅是必须的。国内是否有平替?类似功能在阿里云或腾讯云上尚未看到直接对标产品,但国内大模型平台(如通义千问、文心一言)可以通过自定义插件实现类似效果,只是需要自己开发 CLI 调用逻辑。
-
合规与数据安全:方案使用 Cognito 进行认证,所有 API 调用在用户 AWS 账户内执行,数据不出境。对于有数据合规要求的国内企业,这是一个优势。但需要注意,如果使用 AWS 全球区域,数据可能存储在境外,需评估合规风险。
-
国产替代思考:国内云厂商如阿里云、华为云目前没有直接提供 MCP 服务器或类似 AgentCore Runtime 的服务。但国内开发者社区已开始关注 MCP 协议,未来可能出现基于 ModelScope 或 DashScope 的类似方案。对于希望降低运维门槛的团队,可以关注开源项目如 Open Interpreter 或自建自然语言到 CLI 的转换工具。
-
实际场景:对于国内 SRE 团队,如果已在 AWS 上运行业务,这个方案能显著减少上下文切换,尤其适合故障排查和日常巡检。但需要评估 Amazon Quick 的中文支持程度——目前 Amazon Quick 主要面向英文用户,中文自然语言理解能力可能有限。
几条值得记住的细节
- 认证流程:Amazon Cognito 生成 JWT token,通过 OAuth 2.0 client credentials 流程,AgentCore Runtime 验证后调用 MCP 服务器。
- 权限控制:MCP 服务器使用 IAM 执行角色,遵循最小权限原则,且区分 read 和 write 两种 scope。
- 容器化部署:AWS API MCP Server 以容器镜像形式托管在 Amazon ECR,用户无需自行构建。
- 成本明细:$292/月包含 Quick 企业订阅($40/用户/月)和基础设施费($250/账户/月),查询量约 500 次/月。
- 审计能力:所有 API 调用自动记录到 CloudWatch Logs,满足合规要求。
一句话总结
对 AWS 用户来说,这是用自然语言管理云资源的实用方案,但需评估 Amazon Quick 的中文支持和成本。