AI & Data リリースノートまとめ
AWS Bedrock のロゴ

AWS Bedrock / 公式ブログ / 2026/06/08 / 重要

Amazon Bedrock AgentCore Runtime、コーディングエージェントをリモート実行する設計を解説

AIagentdevセキュリティ

公式ブログ原文

AWS は 2026年6月8日、Amazon Bedrock AgentCore Runtime を使って Claude Code、Codex、Kiro、OpenCode、Cursor IDE、Gemini CLI などのコーディングエージェントをリモートの分離環境で動かす設計を紹介しました。開発者のPC上で長時間エージェントを動かす運用から、管理されたマイクロVM上へ移す考え方です。

要点

  • AgentCore Runtime は、各エージェントセッションに分離された Linux microVM と永続 ワークスペース を提供する
  • Claude Code、Codex、Kiro、OpenCode、Cursor IDE、Gemini CLI などを持ち込める
  • AgentCore Gateway と Identity により、GitHub、Jira、Slack などのツール認証をエージェント内に置かずに扱える
  • 2026年6月5日から interactive shell が導入され、interactive shell で実行中セッションへ入れる
  • VPC、CloudTrail、CloudWatch、Secrets Manager、S3 ファイル、EFS などを組み合わせ、開発エージェントの隔離と監査を強化できる

今回のブログ記事で語られていること

今回の記事は、コーディングエージェントを「開発者のノートPCで動かすもの」から「管理された実行基盤で動かすもの」へ移す提案です。Claude Code、Codex、Kiro のようなエージェントは、シェル、ファイルシステム、リポジトリ、依存関係、外部サービスへの認証情報を必要とします。これらをローカルPC上に集めると、長時間タスク中にPCを閉じられない、複数エージェントが同じポートや認証情報を取り合う、プロンプトインジェクションでローカルの秘密情報へ触れる、といった問題が起こります。

AgentCore Runtime は、この実行場所を dedicated microVM に移します。各セッションは分離された Linux 環境を持ち、EFS に永続的な作業ディレクトリを持てます。PCを閉じても、セッションを再開すれば同じ ワークスペース に戻れるため、長時間のリファクタリング、テスト、依存関係インストール、複数エージェントの並列比較がしやすくなります。記事では、同じ GitHub issue を Claude Code、Codex、Kiro、Cursor に渡し、レイテンシ、コスト、テスト通過率で比較するような使い方も示されています。

より重要なのはセキュリティです。エージェントが GitHub や Jira、Slack にアクセスする場合、トークンを microVM の HOME や環境変数へ置くのは危険です。AgentCore Gateway と Identity を使うと、ツールカタログと認証情報を外部化し、MCP エンドポイント 経由で必要なツールを呼ばせられます。Secrets Manager、トークン Vault、OAuth トークン exchange、Lambda broker などを使い、エージェント自体には長期シークレットを持たせない構成が取れます。

また、VPC 内で実行できる点も実務上の読みどころです。パッケージレジストリ、GitHub Enterprise、内部API、IdP への接続をネットワークレベルで制御し、意図しない外部送信をセキュリティグループや Network Firewall で止められます。コーディングエージェントは便利ですが、実質的にはコードを書き、コマンドを実行し、外部サービスへ触る自動化主体です。だからこそ、通常のアプリケーション実行基盤と同じか、それ以上の隔離・監査が必要になります。

今回のブログ記事が関係する人

この発表は、Claude Code、Codex、Kiro などのコーディングエージェントをチーム利用したい開発組織、エージェント実行環境を標準化したいプラットフォームチーム、シークレットやネットワーク境界を管理するセキュリティ担当に関係します。ローカルPC任せのAI開発支援から、分離された実行基盤、短期認証情報、監査ログを備えた運用へ移したい組織は確認すべき内容です。

実務で確認したいこと

導入する場合は、まず「どのエージェントに何を任せるか」を決める必要があります。リポジトリの読み取り、テスト実行、PR作成、Issueコメント、デプロイ、依存関係更新などを分け、どこまで自動許可するか、どこで人間レビューを挟むかを明確にしてください。

次に、認証情報の置き場所を見直します。ローカルPCやエージェント環境に長期トークンを置かず、Gateway、Identity、Secrets Manager、短期トークン、VPC制御を組み合わせるのが重要です。CloudTrail と CloudWatch による操作履歴、セッション時間、コマンド実行、トークン利用量、エラー率も運用監視に含めるべきです。

結局、今回のブログ記事をどう読むべきか

AgentCore Runtime の記事は、コーディングエージェントの本番運用基盤を考えるための実践的な設計メモです。モデル性能よりも、隔離、永続ワークスペース、認証情報管理、VPC制御、監査をどう作るかが主題です。