Devlery
BlogTags
Blog/AI

AWS Agent Toolkit, 코딩 에이전트에 클라우드 권한을 주는 법

AWS Agent Toolkit은 MCP 서버, skills, plugins로 AI 코딩 에이전트가 AWS를 안전하게 다루는 공식 경로를 제시합니다.

AWS Agent Toolkit, 코딩 에이전트에 클라우드 권한을 주는 법
AI 요약
  • 무슨 일: AWS가 Agent Toolkit for AWS를 출시해 코딩 에이전트용 MCP 서버, skills, plugins를 공식 패키지로 묶었습니다.
    • 발표일은 2026년 5월 6일이며, AWS Labs의 MCP 서버와 skills 실험을 AWS-supported 경로로 정리하는 성격입니다.
  • 핵심 변화: 에이전트가 AWS API를 호출할 때 최신 문서 검색, IAM 기반 통제, CloudWatch/CloudTrail 관측, 샌드박스 실행을 함께 제공합니다.
  • 의미: AI 코딩 경쟁이 IDE 안의 코드 생성에서 클라우드 권한과 감사 가능한 실행 경로로 이동하고 있습니다.
  • 주의점: 공식 툴킷이 생겨도 에이전트에게 쓰기 권한, 비용 권한, 프로덕션 접근권을 어떻게 줄지는 여전히 팀의 운영 설계 문제입니다.

AWS가 AI 코딩 에이전트에게 클라우드 권한을 주는 방식을 공식 제품으로 묶었습니다. 2026년 5월 6일 발표된 Agent Toolkit for AWS는 새 모델도, 새 IDE도 아닙니다. 대신 Claude Code, Codex, Cursor, Kiro 같은 에이전트가 AWS 위에서 실제 애플리케이션과 인프라를 만들 때 필요한 통로를 제공합니다.

표면적으로는 MCP 서버, skills, plugins의 묶음입니다. 하지만 이 조합이 의미하는 바는 꽤 큽니다. AI 코딩 에이전트가 로컬 파일만 수정하는 도구라면 "생성한 코드를 사람이 검토한다"는 기존 개발 프로세스 안에 머물 수 있습니다. 그러나 에이전트가 AWS API를 직접 호출하고, CloudFormation 템플릿을 작성하고, Lambda와 API Gateway를 연결하고, S3 버킷 정책을 바꾸고, CloudWatch 로그를 읽기 시작하면 이야기가 달라집니다. 이제 문제는 코드 품질이 아니라 권한, 감사, 비용, 최신 지식, 실패 복구입니다.

AWS는 이 지점을 정면으로 겨냥했습니다. 공식 발표는 Agent Toolkit을 "AI coding agents build on AWS with fewer errors, lower token costs, and enterprise-grade security controls"라고 설명합니다. 한국어로 풀면, 에이전트가 AWS를 다룰 때 오류와 토큰 낭비를 줄이고 기업용 보안 통제를 붙이겠다는 뜻입니다. 개발자 입장에서는 "에이전트에게 AWS 계정을 열어줘도 되는가"라는 질문에 AWS가 처음으로 공식 답안을 내놓은 셈입니다.

AWS 공식 데이터 일러스트레이션

AWS가 묶은 세 가지 조각

Agent Toolkit for AWS의 구성은 단순합니다. 제품 페이지 기준으로 핵심은 AWS MCP Server, Agent Skills, Agent Plugins입니다. 각각은 서로 다른 문제를 담당합니다.

구성 요소역할실무 의미
AWS MCP ServerAI 에이전트가 MCP로 AWS API, 문서 검색, 샌드박스 실행에 접근하는 관리형 서버로컬 터미널 명령보다 감사와 권한 분리가 쉬워집니다.
Agent SkillsCloudFormation, 데이터 파이프라인, 서버리스 등 작업별 검증 절차와 참고자료모델의 오래된 일반 지식 대신 AWS가 검증한 절차를 불러옵니다.
Agent PluginsMCP 서버 설정과 curated skills를 Claude Code, Codex 같은 도구에 설치하는 묶음개인별 수동 설정을 줄이고 팀 표준 설치 경로를 만들 수 있습니다.

AWS가 발표한 첫 플러그인은 세 가지입니다. AWS Core는 애플리케이션 개발자가 AWS에서 풀스택 앱을 만들고 관리하는 데 필요한 기본 묶음입니다. AWS Data Analytics는 데이터 파이프라인, 로딩, 쿼리 작업에 초점을 둡니다. AWS Agents는 Amazon Bedrock AgentCore를 사용해 프로덕션용 AI 에이전트를 만드는 작업을 다룹니다. GitHub 저장소의 README도 같은 구분을 보여줍니다. aws-core, aws-agents, aws-data-analytics가 플러그인 단위로 제공됩니다.

이 구조는 "에이전트가 AWS를 잘 알게 한다"보다 더 넓습니다. AWS는 에이전트가 최신 문서를 찾고, 어떤 서비스를 고를지 판단하고, 여러 API 호출을 묶고, 결과를 추적하고, IAM 정책 안에서 움직이게 만들려 합니다. 즉, 코딩 에이전트에게 지식을 주는 제품이 아니라 실행 경로를 통제하는 제품입니다.

왜 일반 모델 지식으로는 부족한가

클라우드 작업은 AI 코딩 에이전트에게 까다로운 영역입니다. JavaScript 함수 하나를 고치는 일과 달리, AWS 인프라 변경은 여러 서비스의 조합입니다. VPC, IAM, Lambda, API Gateway, ECS, S3, CloudWatch, CloudFormation, CDK, Secrets Manager가 한 작업 안에 동시에 들어올 수 있습니다. 한 서비스의 옵션을 잘못 고르면 다음 단계가 실패하고, 실패를 복구하는 과정에서 에이전트는 더 많은 토큰을 씁니다.

AWS가 문제로 지목한 지점도 여기에 있습니다. 공식 발표는 개발자들이 코딩 에이전트로 AWS를 만들 때 복잡한 multi-service workflow에서 어려움을 겪고, AWS 서비스에 대한 지식이 오래됐으며, 거버넌스가 어렵다고 설명합니다. 이 문장은 벤더 마케팅처럼 보일 수 있지만, 실제 개발 현장에서는 꽤 익숙한 문제입니다.

프론티어 모델은 강력하지만, 특정 클라우드 서비스의 최신 제약과 권장 패턴을 항상 알고 있지는 않습니다. 예를 들어 새로 출시된 AWS 서비스, 최근 바뀐 API, 특정 리전의 가용성, Well-Architected 관점의 권장 설정은 모델 훈련 시점 이후에 바뀔 수 있습니다. 에이전트가 이를 모른 채 템플릿을 만들면, 코드는 그럴듯하지만 배포는 실패합니다.

Agent Skills는 이 문제를 정면으로 겨냥합니다. 제품 페이지는 skills를 "instructions, code scripts, reference materials"의 curated package로 설명합니다. 공식 발표는 40개 이상 skills가 infrastructure-as-code, storage, analytics, serverless, containers, AI services 범위에서 시작한다고 말합니다. 앞으로 databases, networking, IAM 범위도 추가될 예정입니다.

여기서 중요한 것은 skills가 "프롬프트 모음"에 그치지 않는다는 점입니다. AWS는 각 skill이 에이전트의 정확도와 신뢰성을 높이도록 평가됐다고 설명합니다. 이 말이 실제로 어느 정도 검증을 의미하는지는 더 지켜봐야 하지만, 방향은 분명합니다. 기업용 코딩 에이전트는 더 좋은 시스템 프롬프트보다 검증된 작업 절차, 최신 문서, 실패 시 진단 경로가 필요합니다.

MCP가 클라우드 운영 경로가 된다

Agent Toolkit의 중심에는 AWS MCP Server가 있습니다. MCP는 AI 에이전트가 외부 도구와 데이터 소스를 발견하고 호출하기 위한 표준 프로토콜입니다. 지금까지 MCP는 로컬 개발 환경에서 사내 문서, GitHub, 데이터베이스, 브라우저 자동화 도구를 붙이는 방식으로 많이 쓰였습니다. AWS는 이 흐름을 클라우드 API 전체로 확장합니다.

제품 페이지는 AWS MCP Server를 관리형 원격 서버라고 설명합니다. 에이전트는 이 서버를 통해 AWS CLI 명령을 실행하고, AWS 문서를 검색하고, curated skills를 따를 수 있습니다. 특히 눈에 띄는 수치는 "300개 이상 AWS 서비스와 15,000개 이상 API actions"입니다. 에이전트가 단일 tool을 통해 AWS 서비스 전반을 다룰 수 있다는 뜻입니다.

다만 무제한 권한을 주겠다는 뜻은 아닙니다. AWS MCP Server 설정 문서는 에이전트 요청에 두 가지 IAM condition context key가 붙는다고 설명합니다. aws:ViaAWSMCPService는 요청이 AWS managed MCP server를 거쳤는지 표시하고, aws:CalledViaAWSMCP는 특정 MCP 서버 service principal을 담습니다. 관리자는 이 키를 사용해 MCP를 통한 요청만 따로 허용하거나 차단할 수 있습니다.

Claude Code, Codex, Cursor, Kiro

MCP proxy와 AWS credentials

AWS MCP Server

IAM policy, CloudWatch metrics, CloudTrail audit logs

이 설계가 실무적으로 중요한 이유는 사람의 터미널 명령과 에이전트의 클라우드 명령을 분리할 수 있기 때문입니다. 지금까지 에이전트가 로컬 셸에서 aws CLI를 호출하면, CloudTrail 입장에서는 사람이 직접 호출한 것과 구분하기 어려웠습니다. 물론 사용자, role, session tag로 일부 구분할 수 있지만, "AI 에이전트를 통해 실행된 요청"이라는 정책 단위를 만들기는 까다로웠습니다. AWS MCP Server는 이 요청 경로 자체를 IAM 조건으로 드러내려 합니다.

예를 들어 같은 개발자 role이 로컬에서는 쓰기 작업을 할 수 있어도, MCP를 거친 에이전트 요청에는 S3 삭제나 IAM 변경을 금지하는 정책을 붙일 수 있습니다. 공식 문서는 s3:DeleteBucket, s3:DeleteObject 같은 작업을 MCP 경로에서 deny하는 예시를 제공합니다. 기업에서 원하는 것은 바로 이런 분리입니다. 사람은 긴급 대응 때 직접 고칠 수 있지만, 에이전트는 기본적으로 read-only 또는 staging-only로 제한하는 식입니다.

샌드박스 실행과 파일 처리의 현실

Agent Toolkit에서 또 하나 봐야 할 부분은 sandboxed script execution입니다. AWS MCP Server는 에이전트가 Python script를 격리 환경에서 실행해 multi-step operation을 수행할 수 있다고 설명합니다. 이는 단순한 편의 기능이 아닙니다. 클라우드 작업은 종종 여러 API 호출, 결과 파싱, 필터링, 조건 분기를 필요로 합니다. 에이전트가 매번 단일 API 호출만 한다면 대화가 길어지고 토큰도 낭비됩니다. 샌드박스 스크립트 실행은 이런 반복을 한 번의 구조화된 실행으로 줄일 수 있습니다.

그러나 샌드박스라는 단어만 보고 안전하다고 결론 내리면 곤란합니다. 데이터 보호 문서를 보면 AWS MCP Server는 클라우드 환경에서 실행되며 로컬 파일 시스템에 직접 접근하지 못합니다. 파일이 필요한 작업은 사용자의 S3 버킷에 pre-signed URL로 파일을 staging하는 방식입니다. 대상 서비스가 S3 location을 받을 수 있으면 S3 참조를 직접 넘기고, 파일 내용이 필요한 경우에는 임시 compute storage에 내려받아 작업 후 삭제합니다. 단일 staged file 최대 크기는 4GB이고, pre-signed URL은 최대 1시간 뒤 만료됩니다.

이 내용은 두 가지를 말합니다. 첫째, AWS는 에이전트가 로컬 개발자 머신의 파일 시스템을 직접 훑는 구조를 피하려 합니다. 둘째, 파일 staging에는 사용자의 S3 비용과 권한 모델이 들어옵니다. 에이전트가 배포 패키지를 올리거나 데이터를 처리하는 순간, S3 PUT/GET 비용, staged file lifecycle, bucket policy가 운영 이슈가 됩니다.

따라서 Agent Toolkit을 도입하는 팀은 "설치했다"에서 멈추면 안 됩니다. 어떤 계정에서 에이전트가 실행되는지, 어떤 S3 버킷을 staging에 쓰는지, 해당 버킷의 lifecycle과 encryption은 어떻게 되는지, 에이전트가 어떤 role을 assume하는지까지 정해야 합니다. MCP는 연결 표준이고, 운영 안전성은 여전히 계정 설계의 문제입니다.

Codex와 Claude Code까지 들어간 공식 플러그인

이번 발표에서 devlery 독자에게 특히 흥미로운 부분은 Codex와 Claude Code가 공식 설치 경로에 들어간 점입니다. AWS 제품 페이지는 Claude Code에서 /plugin marketplace add aws/agent-toolkit-for-aws를 실행하고, Codex에서는 codex plugin marketplace add aws/agent-toolkit-for-aws를 실행하는 예시를 제공합니다. GitHub 저장소도 같은 명령을 안내합니다.

이것은 단순한 호환성 목록 이상입니다. 클라우드 벤더가 특정 AI 코딩 에이전트에 맞춰 공식 플러그인을 배포한다는 것은, 에이전트를 개발자 워크스테이션의 정식 클라이언트로 인정한다는 뜻입니다. 과거에는 개발자가 AWS CLI, CDK, CloudFormation, 콘솔을 직접 다뤘습니다. 이제는 AI 코딩 에이전트가 그 사이에 들어오고, AWS는 에이전트가 사용할 수 있는 공식 tool surface를 제공합니다.

이 흐름은 GitHub Copilot CLI의 관리형 플러그인, Cursor의 Teams/PR command center, Google의 Gemini File Search 멀티모달 RAG, Glean의 ADLC와 같은 최근 움직임과 같은 방향입니다. AI 제품 경쟁이 "누가 더 똑똑한 답을 하느냐"에서 "누가 조직의 실제 도구와 권한 체계 안에서 안전하게 움직이느냐"로 바뀌고 있습니다. AWS Agent Toolkit은 그중에서도 클라우드 인프라 계층을 담당합니다.

개발자 경험 측면에서는 장점이 분명합니다. 에이전트가 AWS 문서 검색 도구를 직접 쓰고, 필요한 skill만 로드하고, MCP 서버를 통해 API를 호출하면 모델의 오래된 기억에 덜 의존합니다. 또한 플러그인 단위 설치는 팀 표준화에 유리합니다. 플랫폼 팀이 aws-core를 기본 설치하고, 데이터 팀에는 aws-data-analytics, AI 플랫폼 팀에는 aws-agents를 권장하는 식의 운영이 가능합니다.

하지만 같은 이유로 리스크도 커집니다. 플러그인이 쉬워질수록 개발자는 에이전트에게 더 많은 일을 맡깁니다. "S3 버킷 만들어줘"에서 시작해 "프로덕션 데이터 파이프라인 배포해줘"로 가는 거리는 생각보다 짧습니다. 따라서 설치 편의성은 반드시 권한 최소화와 함께 가야 합니다.

기업이 봐야 할 진짜 질문

Agent Toolkit for AWS는 좋은 방향의 제품입니다. 특히 IAM context keys와 CloudTrail audit logging은 에이전트 운영에서 꼭 필요한 구분선을 만듭니다. 그러나 이 툴킷이 모든 조직의 에이전트 리스크를 자동으로 해결해 주지는 않습니다. 오히려 이제부터는 질문이 더 구체적이어야 합니다.

첫째, 에이전트는 어떤 계정에서 시작해야 합니까. 개인 개발자 계정인지, shared dev account인지, sandbox account인지, ephemeral account인지 정해야 합니다. 둘째, 기본 권한은 read-only여야 합니까, 아니면 일부 write action을 허용해야 합니까. 셋째, 비용을 발생시키는 리소스 생성에는 approval gate가 있어야 합니까. 넷째, 프로덕션 account로 가는 경로는 PR과 CI/CD를 통해서만 열어둘 것입니까, 아니면 에이전트가 직접 변경할 수 있습니까.

이 질문들은 AI 이전에도 존재했습니다. 다만 에이전트가 들어오면서 답을 미룰 수 없게 됐습니다. 사람이 콘솔에서 실수하는 것은 드문 이벤트일 수 있습니다. 반면 에이전트는 한 세션 안에서 수십 번의 API 호출을 반복할 수 있습니다. 잘 설계하면 빠른 자동화가 되지만, 잘못 설계하면 빠른 오작동이 됩니다.

40+
출시 시점 agent skills
300+
AWS 서비스 API 범위
3
초기 agent plugins

운영 원칙은 보수적으로 잡는 편이 맞습니다. 에이전트 전용 IAM role을 만들고, MCP 경로로 들어온 요청에는 별도 deny/allow 정책을 둡니다. 기본은 read-only로 시작하고, 생성 권한은 dev account에 한정합니다. 비용이 큰 리소스, 공개 네트워크, IAM 변경, 데이터 삭제는 approval이 없으면 막습니다. CloudTrail과 CloudWatch를 통해 에이전트 세션을 별도로 추적하고, staging S3 버킷에는 lifecycle rule을 걸어 잔여 파일을 줄입니다.

이런 운영 설계를 전제로 하면 Agent Toolkit은 꽤 강력한 도구가 됩니다. 에이전트는 최신 AWS 문서를 검색하고, 검증된 skill을 따라가며, 사람은 audit log와 IAM 정책으로 경계를 정합니다. 이는 "AI가 마음대로 클라우드를 조작한다"와 다릅니다. 더 정확히는 "AI가 조작할 수 있는 공식 통로를 만들고, 그 통로를 정책으로 다룬다"에 가깝습니다.

AWS의 포지션은 명확하다

이번 발표의 가장 큰 의미는 AWS가 에이전트를 별도 제품군 바깥의 도구로 보지 않는다는 점입니다. Agent Toolkit은 Bedrock AgentCore만을 위한 것이 아닙니다. Claude Code, Codex, Cursor, Kiro 같은 외부 개발 환경을 전제로 합니다. AWS가 이들을 모두 자사 클라우드 운영 경로 안으로 받아들이고 있습니다.

이는 클라우드 플랫폼의 방어 전략이기도 합니다. 개발자가 AI 코딩 에이전트를 통해 인프라를 만들기 시작하면, 에이전트가 어떤 문서와 도구를 보느냐가 클라우드 선택에 영향을 줍니다. AWS가 공식 MCP 서버와 skills를 제공하면, 에이전트는 AWS 권장 패턴을 더 쉽게 따릅니다. 반대로 이런 공식 경로가 없다면 에이전트는 오래된 블로그 글, 일반 모델 지식, 비공식 MCP 서버에 의존하게 됩니다.

그래서 Agent Toolkit은 개발자 도구이면서 동시에 플랫폼 전략입니다. AWS는 AI 코딩 에이전트 시대에도 "인프라의 control plane은 AWS 안에 있어야 한다"고 말하고 있습니다. 모델은 OpenAI든 Anthropic이든 Google이든 상관없습니다. IDE는 Codex든 Claude Code든 Cursor든 상관없습니다. 중요한 것은 AWS 리소스를 다루는 순간, 최신 문서, 권한, 감사, 샌드박스, 비용이 AWS의 공식 경로를 지나가게 만드는 것입니다.

앞으로 경쟁은 더 치열해질 가능성이 큽니다. Microsoft는 Agent 365와 GitHub Copilot 생태계를 통해 에이전트 등록과 조직 통제를 밀고 있습니다. Google은 Workspace와 Cloud의 agent control, Gemini API, File Search를 묶고 있습니다. GitHub은 Copilot CLI 플러그인을 기업 관리 대상으로 올렸습니다. AWS는 Agent Toolkit으로 클라우드 API 접근과 agent skills의 표준화를 밀고 있습니다.

개발팀이 지금 해야 할 일은 특정 벤더의 발표를 따라 설치하는 것이 아닙니다. 먼저 에이전트가 어떤 리소스를 읽고 쓸 수 있어야 하는지, 어떤 작업은 반드시 PR/CI를 거쳐야 하는지, 어떤 로그가 감사 증거가 되는지 정해야 합니다. 그 다음에 Agent Toolkit 같은 공식 경로를 붙이는 것이 순서입니다.

AI 코딩 에이전트는 이제 코드 편집기 안의 편의 기능이 아닙니다. 클라우드 계정, 배포 파이프라인, 데이터 접근권을 만지는 실행자입니다. AWS Agent Toolkit의 출시는 그 변화를 아주 실무적인 방식으로 보여줍니다. 에이전트에게 클라우드 권한을 줄 수 있는 시대가 왔습니다. 이제 핵심 질문은 "줄 수 있는가"가 아니라 "어떤 경계 안에서 줄 것인가"입니다.