AgentCore Identity в Amazon Bedrock внедряет Authorization Code Grant для защищённого доступа AI‑агентов на Amazon ECS

AgentCore Identity теперь доступен как отдельный сервис и реализует Authorization Code Grant (трёхсторонний OAuth) для безопасного доступа AI‑агентов к внешним сервисам с привязкой сессий и аудируемым хранением токенов.

Amazon Bedrock AgentCore Identity представлен как отдельный сервис, реализующий Authorization Code Grant (трёхсторонний OAuth) для защиты того, как AI‑агенты на Amazon ECS получают доступ к внешним ресурсам. Это важно для сценариев, где агенты действуют от имени пользователей и требуют явного согласия, аудита и контроля: решение связывает действия агента с пользователем и ограничивает права доступа на уровне сессии. Ключевой элемент реализации — безопасная привязка сессии (session binding), которая предотвращает CSRF‑атаки и подмену браузера (browser‑swapping). В рамках потока выдаётся код авторизации, который затем обменивается на scopped‑токены, привязанные к конкретной пользовательской сессии; эти токены ограничены по объёму прав и сроку действия, что уменьшает риск неправомерного доступа.

Выдача и хранение токенов организованы через хранилище токенов AgentCore Identity, что обеспечивает аудитируемую цепочку от исходной аутентификации пользователя до последующих действий агента. Такое централизованное хранение упрощает отслеживание использования токенов и последующий аудит действий агентных приложений. Архитектура разделяет обязанности между агентным рабочим процессом (Agentic Workload), который выполняет логику агента и обрабатывает пользовательские запросы, и Session Binding Service, который завершает привязку сессии и производит обмен кода на scoped‑токены. Это снижение привилегий рабочих нагрузок делает систему более безопасной и упрощает жизненный цикл токенов и их ротацию.

Важное различие в деталях OAuth: Callback URL автоматически создаётся при регистрации OAuth‑клиента в AgentCore Identity и указывается как redirect target у Authorization Server; Session Binding URL-это URL, контролируемый заказчиком, на который направляются данные для завершения привязки сессии между аутентифицированным пользователем и OAuth‑потоком. Решение опирается на стандарты OAuth 2.0 (RFC 6749) и OpenID Connect (OIDC).

В демонстрационном развёртывании на Amazon ECS показано использование двух сервисов за Application Load Balancer (ALB). ALB выполняет встроенную OIDC‑аутентификацию, обеспечивает HTTPS‑шифрование с сертификатом из AWS Certificate Manager и маршрутизацию через alias A‑запись в Amazon Route 53; после аутентификации ALB пересылает запросы в кластер ECS и инжектирует заголовок x‑amzn‑oidc для дальнейшей обработки. В демонстрации в качестве провайдера идентичности использован Microsoft Entra ID, но поддерживаются любые OIDC‑совместимые провайдеры.

Полный исходный код и требования к окружению опубликованы в сопроводительном репозитории на GitHub. Для разработчиков и архитекторов это решение обеспечивает принцип наименьших привилегий, привязку сессии и аудируемый след при создании агентных приложений на ECS; при этом подход применим и к другим средам выполнения, включая EKS, Lambda и on‑premises.