Transformacion Digital
Inteligencia Artificial 6 min lectura

Crear un asistente conversacional para AWS con Amazon Bedrock AgentCore y AWS API MCP

Este artículo explica cómo conectar Amazon Quick a los servicios de AWS usando Amazon Bedrock AgentCore Runtime con soporte MCP. La solución permite convertir consultas en lenguaje natural en llamadas API y comandos CLI, manteniendo control de acceso y auditoría.

Por Redaccion TD
#amazon-bedrock #agentcore #aws-api-mcp #amazon-quick #cognito
Crear un asistente conversacional para AWS con Amazon Bedrock AgentCore y AWS API MCP

Resumen ejecutivo

A medida que la infraestructura en la nube crece, los equipos de SRE y DevOps pierden tiempo valioso cambiando contexto entre consolas, documentación y paneles de servicio. Traducir preguntas de negocio a la sintaxis correcta de la API, encadenar llamadas y recrear integraciones repetitivas genera fricción operativa en momentos críticos.

La integración entre Amazon Bedrock AgentCore Runtime y el AWS API MCP Server permite a Amazon Quick actuar como un asistente conversacional que convierte lenguaje natural en llamadas API de AWS (y en comandos AWS CLI), todo dentro de los límites de permisos de IAM y con trazabilidad en Amazon CloudWatch. Esto reduce el cambio de contexto, acelera investigaciones y estandariza los patrones de interacción con los servicios de AWS.

¿Qué problema resuelve?

Los equipos operativos a menudo requieren datos de múltiples servicios para resolver incidentes, planificar capacidad o realizar auditorías. Hoy eso implica ejecutar secuencias de comandos manuales, recordar parámetros de API y mantener fragmentos de integración para cada caso de uso. Con AgentCore Runtime y MCP, el flujo es conversacional: ustedes preguntan en lenguaje natural y reciben resultados estructurados sin recordar la sintaxis del CLI.

Beneficios directos:

  • Menos conmutación de contexto entre interfaces.
  • Respuestas más rápidas para investigaciones y operaciones.
  • Auditoría y cumplimiento al aprovechar CloudWatch y el modelo de permisos de IAM.
  • Reutilización de una integración estándar en múltiples flujos de trabajo.

Cómo funciona la solución (flujo simplificado)

  1. El usuario formula una consulta en Amazon Quick, por ejemplo: ‘Mostrar instancias EC2 en ejecución en us-east-1’.
  2. El agente personalizado de Amazon Quick interpreta la intención de la consulta.
  3. Amazon Cognito autentica la solicitud: Quick obtiene un token JWT desde un user pool de Cognito usando el flujo OAuth 2.0 client credentials con Client ID y Client Secret configurados.
  4. El request autenticado llega a Amazon Bedrock AgentCore Runtime, que valida el JWT contra la configuración del proveedor de identidad (IdP).
  5. AgentCore Runtime autoriza y enruta la solicitud hacia el AWS API MCP Server que se ejecuta en el entorno del agente.
  6. El MCP Server traduce la consulta en la llamada API o comando CLI apropiado.
  7. La llamada se ejecuta con el rol de IAM configurado, respetando el principio de menor privilegio.
  8. Los resultados se devuelven en un formato legible dentro de la interfaz de Quick, sin que el usuario necesite escribir sintaxis de CLI.

Componentes principales

  • Amazon Quick: interfaz conversacional donde los usuarios escriben consultas.
  • Amazon Bedrock AgentCore Runtime: plataforma donde se ejecutan y validan los agentes, con soporte para MCP.
  • AWS API MCP Server: servicio que traduce intenciones en llamadas API/CLI a los servicios de AWS.
  • Amazon Cognito: gestiona autenticación mediante JWT para las solicitudes máquina-a-máquina.
  • IAM: controla permisos y ejecución de acciones en los servicios de AWS.
  • Amazon CloudWatch: registra logs para auditoría y cumplimiento.

Requisitos previos

Para desplegar la solución se necesita lo siguiente:

Cuenta y accesos

  • Una cuenta de AWS con permisos administrativos.
  • Suscripción a Amazon Quick Enterprise (mínimo Professional según la fuente).
  • Acceso a AWS Marketplace para el AWS API MCP Server.
  • Permisos IAM para crear Cognito user pools, roles y políticas, agentes de AgentCore Runtime y grupos de logs en CloudWatch.

Herramientas

  • AWS CLI instalada y configurada (es necesaria para pasos de URL encoding en la guía).

Conocimientos

  • Conceptos básicos de roles y políticas IAM.
  • Familiaridad con flujos de autenticación OAuth 2.0 y con JWT.

Información adicional proporcionada en la fuente

  • Tiempo estimado de implementación: 30–45 minutos.
  • Costo estimado mensual: para un solo usuario Enterprise que realice ~500 consultas/mes, aproximadamente 292 USD/mes, impulsado por la suscripción de Amazon Quick y la tarifa de infraestructura.

Pasos de alto nivel para el despliegue

  1. Crear un Amazon Cognito user pool: se configura para generar tokens JWT en un flujo machine-to-machine, y Cognito crea automáticamente un resource server con scopes OAuth 2.0.
  2. Crear roles y políticas IAM: definir roles para la ejecución con privilegios mínimos que permitan a AgentCore y al MCP Server invocar las APIs necesarias.
  3. Crear un agente en Amazon Bedrock AgentCore Runtime: desplegar el runtime con el autorizer apuntando al discovery URL de su IdP y a los clientes permitidos.
  4. Configurar integraciones en Amazon Quick para apuntar al AWS API MCP Server: así Quick puede delegar traducción y ejecución de llamadas.
  5. Crear un agente de chat personalizado en Amazon Quick: habilitar la interfaz conversacional que usará el usuario final.

La configuración del authorizer en AgentCore Runtime permite validar automáticamente los tokens que envíe Amazon Quick, de modo que no es necesario modificar el código del agente existente: AgentCore se encarga de la validación y del rechazo de solicitudes no autorizadas.

Consideraciones de seguridad y cumplimiento

  • Siempre aplique el principio de menor privilegio en los roles IAM usados para ejecutar comandos en nombre de los agentes.
  • Mantenga trazabilidad en CloudWatch para cumplimiento y auditoría de acciones ejecutadas por el asistente.
  • Valide correctamente la configuración del authorizer en AgentCore Runtime para asegurarse de que sólo tokens válidos y con los scopes adecuados puedan invocar acciones.

Relevancia para organizaciones en América Latina

En la región, donde muchos equipos operan con plantillas y procesos centralizados, esta integración puede acelerar la respuesta a incidentes y simplificar la estandarización de flujos operativos entre equipos distribuidos. Reducir la dependencia de scripts ad hoc y centralizar la interacción mediante agentes conversacionales también facilita la capacitación y la adopción de buenas prácticas en gestión de la nube.

Conclusión

Integrar Amazon Bedrock AgentCore Runtime con soporte MCP y el AWS API MCP Server ofrece una vía práctica para convertir consultas en lenguaje natural en llamadas API de AWS, manteniendo control de acceso y trazabilidad. Para equipos SRE y DevOps, esto representa una reducción de fricción operativa y una forma de estandarizar cómo los agentes de IA interactúan con la infraestructura en la nube. La implementación exige configurar Cognito, IAM y los agentes en Bedrock y Quick, pero la configuración se centra en la autorización y el despliegue, sin necesidad de reescribir la lógica del agente existente.

Fuente original: AWS ML Blog