【用語集】AWSのAIエージェント基盤を読み解く ── Bedrock・AgentCore・Kiro・MCP

本記事は、本編「AWSのAIエージェント基盤を三層で読む ── Bedrock(モデル)・AgentCore(運用)・Kiro(開発)を貫くMCP」の 用語集（companion） です。本編に出てくる用語を、層ごとに整理しました。リファレンスとして拾い読みできます。

対象読者：AWSは触っているが、AgentCore・MCP・Kiro まわりの用語が頭の中で繋がっていない人／AIエージェントの「本番運用」側を整理したい人。
この記事でわかること：Bedrock / AgentCore / Kiro / MCP と周辺用語が、「三層＋背骨」のどこに位置するか。

---

全体地図

ひとことで言うと、作る＝Kiro／考える＝Bedrock／動かす＝AgentCore／繋ぐ規格＝MCP。この地図が頭にあると、以下の用語の置き場所が分かります。

層	プロダクト	役割	主な課金
開発層	Kiro	設計・実装（spec-driven）	クレジット制サブスク
運用層	AgentCore	デプロイ・認証・記憶・監視	実行 / ゲートウェイ等のインフラ
モデル層	Bedrock	推論（Claude 等）	トークン
横断	MCP	ツール接続・連携の標準規格	—（規格）

---

📑用語インデックス

• 横断・基本：AIエージェント / MCP / AAIF / A2A / spec-driven development / vibe coding / Harness Engineering

---

• モデル層（Bedrock）：Amazon Bedrock / ゼロオペレーターアクセス / データレジデンシー / Bedrock Guardrails / Knowledge Bases / Provisioned Throughput / Claude Platform on AWS

---

• 運用層（AgentCore）：Amazon Bedrock AgentCore / Runtime / Gateway / Identity / Memory / Browser Tool・Code Interpreter / Observability / Policy / Cedar / Evaluations / managed harness / awslabs AgentCore MCP Server

---

• 開発層（Kiro）：Kiro / steering / agent hooks / Kiro CLI / checkpoint

• 落とし穴・周辺：ベンダーロックイン / lethal trifecta / progressive disclosure / コンテキスト汚染 / FinOps

---

🔁 横断・基本概念

AIエージェント

モデル（頭脳）に、ツール・記憶・実行ループといった「環境」を組み合わせ、自律的にタスクを進める仕組み。Agent = Model + Harness と表現される。本記事の主題は、この「Harness（環境）」をAWSがどう提供するか。

MCP

Model Context Protocol（エムシーピー）。AIと外部ツール・データを繋ぐオープン標準プロトコル。イメージは「USB-C for AI」。価値は 再利用性（一度書けば各クライアントで使い回せる）・責務分離（LLM呼び出しと外部接続が切れる）・標準化（ベンダー固有のTool Use実装を覚え直さない）の3点¹。
→ AWSでの実装は Gateway と awslabs AgentCore MCP Server を参照。

よくある誤解：MCPは「コストを下げる規格」ではない。あくまで「接続を標準化する規格」。コスト面の効果は progressive disclosure による間接的なものであり、「MCPがAPI料金を下げる」という説明は不正確。

AAIF

Agentic AI Foundation。2025年12月にMCPが寄贈された、Linux Foundation 傘下の団体¹。Anthropic・Block・OpenAIが共同設立し、Google・Microsoft・AWS・Cloudflare・Bloomberg などが支援。MCPを単独ベンダーから切り離し、中立ガバナンスに置く。AWSもメンテナーとして参加している。

A2A

Agent-to-Agent。エージェント同士が連携・委譲し合うためのプロトコル。Runtime が対応する。

spec-driven development

仕様駆動開発。プロンプトから直接コードを書くのではなく、要件 → 設計 → タスクの順に文書化し、人間が承認してから実装する方式。Kiro の中核思想で、「追跡可能性・構造」を重視する。

vibe coding

仕様を固めず、対話的に勢いで作る開発スタイル。spec-driven の対極としてよく対比される。

Harness Engineering

モデルの「周り」の動作環境全体（ツール定義・制約・記憶・フィードバックループ・人間の介在＝HITL）の設計を指す。AgentCore の managed harness は、これをマネージドサービス化したものと読める。

---

モデル層（Amazon Bedrock）まわり

Amazon Bedrock

各社の基盤モデルをAPIで使えるAWSのマネージドサービス。Claude もここで動く。本記事では「推論を供給するモデル層」。

重要：Bedrock経由でもモデルの賢さ・トークン単価は直接APIと変わらない。違うのは“周り”（データ境界・認証・統制・課金統合）である。

ゼロオペレーターアクセス

プロンプト／応答が Anthropic にも AWS の運用者にも見えない状態。Bedrock のデータ保護の中核。商用条件では入力が学習に使われない。

データレジデンシー

データを特定リージョン（例：東京）内に留める要件。公共・規制対応の案件で決め手になる。

Bedrock Guardrails

不適切な話題や PII／PHI をフィルタする安全機構。

Knowledge Bases

社内データを根拠として参照させる RAG のマネージド機能。

Provisioned Throughput

推論容量を予約して安定処理を確保する課金モード。

Claude Platform on AWS

2026年5月に登場した「AWSでClaudeを使う第3の経路」²。Anthropic ネイティブのフル機能基盤（Managed Agents・Skills・MCPコネクタ等）を、AWSアカウント経由・AWS Marketplace課金・IAM認証で使う。運用はAnthropic側（AWS境界の外）、新機能は当日反映。

AWSでClaudeを使う3経路の比較：

経路	推論の運用主体	データ境界	課金	新機能の反映	向く場面
Bedrock	AWS	AWS境界内	AWS（トークン）	やや遅れる	データをAWS内に留めたい／規制対応
Claude Platform on AWS	Anthropic	Anthropic側	AWS Marketplace	当日	最新機能をAWS課金・IDで使いたい
直接 Anthropic API	Anthropic	Anthropic側	Anthropic直	当日	最速・最新、隔離は自前で組む

---

⚙️ 運用層（Amazon Bedrock AgentCore）まわり

Amazon Bedrock AgentCore

エージェントを本番運用するためのマネージド基盤³。現在15リージョンで提供⁴。7つのプリミティブで構成され、フレームワーク・モデル非依存。本記事の主役。

7プリミティブ一覧：

プリミティブ	役割	ひとこと
Runtime	実行環境	最大8時間・セッション隔離（microVM）
Gateway	ツール接続	API/Lambda/MCPを統一MCPエンドポイント化
Identity	認可	代理／自律アクセスとトークン管理
Memory	記憶	短期＋長期をマネージド
Browser Tool	Web操作	サンドボックス実行
Code Interpreter	コード実行	サンドボックス実行
Observability	可視化	OTEL互換・CloudWatch/外部連携

このほか、後発の拡張として Policy（2026/3 GA）・Evaluations（2026/3 GA）・managed harness（2026/4 プレビュー）がある⁵⁶。

Runtime

エージェントの実行環境。最大8時間の実行ウィンドウ、リクエストごとの完全なセッション隔離（各セッションが独自の microVM）、A2A 対応。

Gateway

既存の API・Lambda・他の MCPサーバーを、エージェントから使える「統一MCPエンドポイント」に変換する。インバウンド／アウトバウンドの二重認証（IAM／OAuth）。これにより個別の統合コードが不要になる。ツール一覧の提示に default／dynamic の2モードを持つ。

Identity

エージェントがユーザーの代理として、または自律的にサービスへアクセスするための認可とトークン管理。

Memory

短期（セッション内）・長期（抽出された知見）の記憶を、インフラ管理ゼロで提供。

Browser Tool・Code Interpreter

サンドボックス化された環境で提供される、Web操作・コード実行の組み込みツール。

Observability

実行のエンドツーエンドな可視化。OpenTelemetry 互換で、CloudWatch のほか Datadog などの外部監視基盤とも連携。

Policy

ツールアクセスをエージェントコードの外で制御するガードレール層⁵。自然言語で書いた規則が Cedar に変換され、Gateway にアタッチして各リクエストを評価する。

Cedar

AWS のオープンソースの認可ポリシー言語。Policy の内部表現として使われる。

Evaluations

エージェントの品質を測る評価基盤（Ground Truth、behavioral assertions、カスタム評価器など）⁵。Observability と統合。

managed harness

モデル・システムプロンプト・ツールを指定するだけで、推論 → ツール選択 → 実行 → 応答ストリーミングというエージェントループ全体をマネージドに動かす機能⁶。各セッションが独自の microVM を持つ。
→ AIエージェントの Harness Engineering（環境設計）を、AWSが文字どおりその名前で製品化したもの。

awslabs AgentCore MCP Server

AgentCore を操作する公式のMCPサーバー（約122ツール）⁷。Kiro・Claude Code・Cursor・Amazon Q CLI などのAIコーディングエージェントから接続でき、ドキュメント検索からエージェントのデプロイ・トラブルシュートまでを MCP経由で行える。

.kiro/settings/mcp.json

{
  "mcpServers": {
    "bedrock-agentcore-mcp-server": {
      "command": "uvx",
      "args": ["awslabs.amazon-bedrock-agentcore-mcp-server@latest"],
      "env": { "FASTMCP_LOG_LEVEL": "ERROR" },
      "disabled": false,
      "autoApprove": ["search_agentcore_docs", "fetch_agentcore_doc"]
    }
  }
}

導入チェックリスト・環境変数・OS別の補足（クリックで展開）

疎通確認チェックリスト

• uv / uvx がインストール済み
• AWS CLI が認証済み（プロファイル・リージョン）
• .kiro/settings/mcp.json に上記を記載して保存
• MCPクライアントを再起動
• ツール一覧に search_agentcore_docs / fetch_agentcore_doc が出るか確認

登録するツールの絞り込み（環境変数）

# 特定のプリミティブだけ無効化
AGENTCORE_DISABLE_TOOLS=browser,code_interpreter
# または特定のプリミティブだけ有効化（ドキュメント系ツールは常に利用可）
AGENTCORE_ENABLE_TOOLS=memory,runtime,identity

Windows では uvx ではなく uv tool run --from ... 形式になるなど、OSで記法が異なる。

設定例は代表例。正確な記法・ツール一覧・対応クライアントは、公式ドキュメント（Bedrock AgentCore「Install the MCP server」）および awslabs/mcp リポジトリで最新を確認してください。

---

🛠 開発層（Kiro）まわり

Kiro

AWS製の agentic IDE（GA済み）。VS Code のベースである Code OSS をフォークし、Bedrock 経由で Claude を使う。spec-driven development が最大の差別化点。Cursor・Claude Code・Copilot が「出力の速さ」を最適化するのに対し、Kiro は「追跡可能性・構造」を最適化する。

steering

プロジェクト横断でエージェントに与える方針・規約のファイル（ステアリングファイル）。

agent hooks

特定のイベントをトリガに、エージェント処理を自動で走らせる仕組み。

Kiro CLI

端末から使う Kiro。/effort（推論の深さを low〜max の5段階で制御）・/rewind（会話を分岐させる。新セッションを作り、元は残す）・/settings などのコマンドを持つ。

checkpoint

ファイル状態を巻き戻す機能。

混同注意：Kiro CLI の /rewind（会話を分岐、ファイルは戻さない）と、checkpoint（ファイルを戻す）は役割が別物。「巻き戻し」という言葉で一括りにしないこと。

---

⚠️ 落とし穴・周辺概念

ベンダーロックイン

本記事の論点。モデル・フレームワーク・規格（MCP）は開放される一方、運用面（AgentCore）の作り込みが移行コストになる。ロックインの所在が「どのモデルを使うか」から「どの運用基盤で動かすか」へ移った、と読める。

lethal trifecta

致命的な三要素。「機密データ・外部通信・非信頼な入力」が揃うと、プロンプトインジェクションの被害が起きやすいというセキュリティ概念。ツールが標準で繋がるエージェントでは特に注意し、Policy／Identity で縛るのが前提。

progressive disclosure

ツール定義を必要なときだけ読み込み、コンテキスト（とトークン）を節約する設計。MCP のトークン効率の源泉。※「MCPがAPI料金を直接下げる」のではなく、この間接効果である点に注意。

コンテキスト汚染

context rot。会話が長くなり、不要な情報でコンテキストの質が劣化する現象。Kiro CLI の /rewind のような分岐機能は、ここからの回復にも使われる。

FinOps

クラウドのコスト最適化の実践。エージェントは 3層が別課金（Bedrock＝推論トークン／AgentCore＝インフラ／Kiro＝クレジット制サブスク）かつ呼び出し回数も効くため、コストが読みにくく、運用課題になりやすい。

---

まとめ

• AWSのAIエージェント基盤は「三層（Bedrock / AgentCore / Kiro）× 背骨（MCP）」で整理できる。
• 用語は モデル層＝考える／運用層＝動かす／開発層＝作る／MCP＝繋ぐ規格、のどこに属するかで覚えると迷わない。
• ベンダーロックイン・lethal trifecta・progressive disclosure といった周辺概念は、「便利さの裏側」を見るための語彙。

詳しい構造と考察は本編で扱っています 👉 [本編記事のリンク]

---

🔗 参考リンク

• AWS「Amazon Bedrock AgentCore is now generally available」(Oct 2025)
• Amazon Bedrock AgentCore 公式ドキュメント（Runtime / Gateway / Identity / Memory / Observability / Policy）
• Amazon Bedrock AgentCore「Install the MCP server」公式ドキュメント／awslabs/mcp（GitHub）
• AWS「Policy in Amazon Bedrock AgentCore is now generally available」(Mar 2026)／「Evaluations is now GA」(Mar 2026)／「managed harness ほか新機能」(Apr 2026)
• Kiro「Kiro is generally available」(kiro.dev)／Kiro CLI Docs・Changelog
• AWS / Anthropic「Claude Platform on AWS」(May 2026)
• Anthropic「Introducing the Model Context Protocol」(Nov 2024)／「Donating MCP and establishing the AAIF」(Dec 2025)
• Model Context Protocol Blog「Expanding the MCP Maintainer Team」(Apr 2026)

---

この用語集が役に立ったら LGTM / ストック していただけると励みになります。本編もあわせてどうぞ。

---

---

※ 本稿は2026年6月時点の公開情報に基づきます。Amazon Bedrock AgentCore・Kiro はいずれも仕様の更新が活発なため、実装時は公式の最新情報を確認してください。数値・スペックは特定条件下の一例であり、普遍的な値ではない点に留意してください。

1. MCPは2024年11月にAnthropicが公開、2025年12月にLinux Foundation傘下のAAIFへ寄贈。AWSは2025年11月にMCP対応を追加した。 ↩ ↩²

2. Claude Platform on AWS は2026年5月に提供開始。 ↩

3. Amazon Bedrock AgentCore は2025年10月にGA（プレビューは2025年7月）。 ↩

4. 提供リージョンは公式FAQ基準で15（2026年時点）。GA当初の9から拡大している。 ↩

5. AgentCore Policy・Evaluations はいずれも2026年3月にGA。 ↩ ↩² ↩³

6. managed harness は2026年4月にプレビュー公開。 ↩ ↩²

7. awslabs の AgentCore MCP サーバーのツール数は公開情報で約122。正確な記法・ツール一覧は公式ドキュメントおよび awslabs/mcp を参照のこと。 ↩