AgentCore Identity в Amazon Bedrock получил поддержку ссылок на существующие секреты AWS Secrets Manager

Amazon добавила в AgentCore Identity для Bedrock возможность указывать ARN уже созданных секретов в AWS Secrets Manager, что позволяет агентам использовать заранее сконфигурованные секреты с сохранением настроек шифрования, ротации, тегов и политик.

AgentCore Identity для Amazon Bedrock теперь может ссылаться на заранее созданные секреты в AWS Secrets Manager, что позволяет агентам брать учётные данные из уже настроенных хранилищ вместо использования автоматически создаваемых AgentCore секретов. Это упрощает интеграцию агентных систем с корпоративными процессами управления секретами и снижает необходимость ручного вмешательства при настройке доступа. Ранее AgentCore Identity автоматически создавал и управлял секретами в аккаунте клиента для каждого Outbound credential provider, но при этом клиенты не могли задавать пользовательские теги, политики ротации или применять customer managed KMS‑ключи на этапе создания. Ограничения автоматического создания мешали требованиям учёта расходов, аудита и централизованной политики безопасности у организаций с уже налаженным управлением секретами.

Новая возможность позволяет указывать ARN существующего секрета в Secrets Manager; при этом сохраняются его настройки шифрования, ротации, репликации, теги и политики ресурса. Таким образом, организации сохраняют текущие правила защиты и аудита, не жертвуя удобством работы агентов Bedrock. Функция поддерживает выбор секретов из другого AWS аккаунта при условии, что они находятся в том же регионе; кросс‑региональное шарингирование секретов не поддерживается. Кроме того, поддерживаются секреты, подключённые через AWS Secrets Manager external connectors, что открывает возможность интеграции с внешними менеджерами секретов и третьими сторонами.

Для работающих агентных систем это означает уменьшение риска утечек и упрощённое соответствие требованиям: AgentCore Identity использует указанный секрет как источник учётных данных, а при ротации значения секрета агент получает обновлённое значение при следующем чтении без необходимости пересоздавать или обновлять ресурс credential provider. Это снижает простои при смене ключей и облегчает автоматизацию жизненного цикла секретов. Чтобы воспользоваться новой возможностью, у вас должен быть уже существующий секрет в AWS Secrets Manager, содержащий API‑ключ или OAuth client secret. Также нужно предоставить сервисному принципалу AgentCore Identity право secretsmanager: GetSecretValue для доступа к секрету; при использовании customer managed AWS KMS (CMK) потребуется дополнительно разрешение kms: Decrypt для расшифровки.

Практические сценарии применения включают доступ агентов к внешним API с уже настроенными секретами, бесперебойную работу при ротации учётных данных, ограничение доступа через политики ресурса на уровне самого секрета, соблюдение требований к CMK‑шифрованию и сохранение тегов для учёта расходов и аудита. Эти сценарии особенно полезны для организаций с централизованным управлением секретами и строгими требованиями безопасности.