发生了什么
Amazon Web Services 更新了 Bedrock AgentCore Gateway,使其通过 Amazon Bedrock AgentCore Identity 支持 OAuth 2.0 授权码流程。团队现在可以通过单一的 Gateway URL 路由所有 MCP 服务器连接,而无需为每个服务器或 IDE 单独配置认证。此次更新针对来自 GitHub、Salesforce 和 Databricks 等提供商的生产级第三方 MCP 服务器,这些服务器在调用工具前需要委托用户认证。
为何重要
随着 AI 智能体部署的扩展,每个组织的 MCP 服务器数量迅速增长。在 IDE 或应用层面管理 OAuth 令牌、路由规则和访问策略已无法适应规模扩展。AgentCore Gateway 将认证、可观测性和策略执行整合到一个控制平面中。对于在 Bedrock 上构建的独立开发者和中小企业而言,这消除了编写自定义令牌刷新逻辑或将凭证嵌入应用代码的需求——这两者都是早期 AI 产品中常见的安全事件来源。
- 一个 Gateway URL 取代了每个开发者环境中 N 个独立的 MCP 服务器配置
- 令牌生命周期由 AgentCore Identity 管理,而非应用代码
- 策略执行和可观测性实现集中化,简化了合规性审计
亚太视角
为全球企业客户构建 SaaS 产品的中国和东南亚开发者,越来越需要通过 MCP 集成 Salesforce 和 GitHub 等西方平台。这些平台强制实施具有严格令牌范围限制的 OAuth 2.0。AgentCore Gateway 对授权码流程的支持意味着新加坡、雅加达或深圳的团队无需搭建独立的 OAuth 代理或依赖长期有效的 API 密钥即可连接这些服务——这种模式在向美国或欧盟市场销售时,经常无法通过企业安全审查。AWS 基础设施已在 ap-southeast-1(新加坡)和 ap-northeast-1(东京)可用,使得区域部署的延迟在可接受范围内。
本周行动项
如果您现有的 Bedrock 智能体直接调用任何受 OAuth 保护的 MCP 服务器,请在 AgentCore Gateway 中注册该服务器,并用单一的 Gateway URL 替换直接连接。在推广到生产环境之前,请在测试环境中使用授权码流程测试令牌委托。