AgentCore Gateway сочетает Cedar‑политики и Lambda‑перехватчики для контроля доступа и валидации AI‑агентов

Amazon Bedrock AgentCore иллюстрирует подход к защите поведения агентных приложений через сочетание декларативных политик управления доступом и рантайм‑перехватчиков в AgentCore Gateway. Это позволяет сочетать предсказуемость детерминированных allow/deny‑решений с гибкостью динамической валидации аргументов и контекста при вызовах инструментов — ключевой механизм для предотвращения несанкционированных действий агентами. Политики в AgentCore авторуются на языке Cedar и оценивают каждое обращение по трём компонентам: субъект (principal), действие и ресурс. К записям можно добавлять опциональные условия над контекстом запроса; итогом оценки всегда становится детерминированный allow или deny, а все решения автоматически фиксируются в аудите для последующего анализа и соответствия требованиям.

Lambda‑перехватчики запускаются до и/или после вызова инструмента и реализуют динамическую логику, недоступную в декларативных правилах: валидацию входных аргументов и контекста, обогащение полезной нагрузки, обмен токенов между системами и фильтрацию ответов. Такое разделение обязанностей позволяет вынести предсказуемую авторизацию в политику, а сложные сценарии проверки — в рантайм‑перехватчики.

В демонстрационном сценарии lakehouse data agent хранит данные в Amazon S3 Tables в формате Apache Iceberg и выполняет запросы через Amazon Athena под управлением Lake Formation. Для работы выделены три роли пользователей — policyholders, adjusters и administrators — с разными уровнями доступа; MCP Server выставляет пять инструментов: query_claims, get_claim_details, get_claims_summary, query_login_audit и text_to_sql. Карты ролей, IAM‑маппинги арендаторов и географические данные пользователей хранятся в DynamoDB.

Архитектурный поток начинается с аутентификации через Streamlit UI и Amazon Cognito: UI передаёт JWT агенту, AgentCore Runtime валидирует токен и создаёт изолированные сессии. При вызове инструмента AgentCore Gateway направляет запрос через Lambda‑перехватчик, который извлекает bearer‑токен, сверяет доступ по Tenant Role Mapping и генерирует токен с tenant‑scoped claims. После этого Policy Engine оценивает вызов; при разрешении MCP Server выполняет запросы с подставленными учётными данными, а Lake Formation накладывает row‑ и column‑level ограничения.

Для воспроизведения решения требуются AWS‑аккаунт, доступ к репозиторию на GitHub и соответствующие IAM‑права для настройки. Разработчикам и инженерным командам предлагаемая схема служит шаблоном для управления компромиссом между предсказуемостью (детерминированные политики и аудит) и гибкостью (рантайм‑валидация и обмен токенов) — полезным при масштабировании сотен агентов и тысяч MCP‑инструментов внутри организации.