AIToday

AWS Bedrock、OAuthトークン交換に対応

Amazon AI Blog5時間前
AWS Bedrock、OAuthトークン交換に対応

こういう要約が、毎朝あなたのメールに届きます。

無料で登録 →

3つのポイント

  • 何が起きたか

    Amazon Bedrock AgentCore Identityが OAuth 2.0 Token Exchange(RFC 8693)にネイティブ対応し、AgentCore Gatewayが受信したユーザートークンを自動的に各下流サービス用にスコープされた新しいトークンに交換してからエージェントが呼び出すことが可能になった。AWSは TravelBot という参照実装(2つのサンプルテナント Acme と Globex に対応するマルチテナント予約アシスタント)を公開し、コードは aws-samples/sample-obo-flow-poc リポジトリで利用可能になる予定。

  • なぜ重要か

    マルチテナントAIエージェントは ID の問題に直面している。エージェント自身の ID を使用して下流 API を呼び出す場合、監査証跡が失われ、すべての下流システムがエージェントを無条件に信頼する必要がある。ユーザーのトークンを変更せずに転送する場合、下流ツールはリクエストがどのテナントに属しているかを検証できない。トークン交換は元の呼び出し元の ID(sub クレーム)を保持しながら、各下流呼び出しを単一サービス(aud クレーム)にバインドすることでこの問題を解決し、下流 API は 1 つのトークンから「誰のためか」と「誰がやっているのか」の両方に答えられ、監査・認可判断は元のユーザーまで追跡可能になる。

  • 注目点

    OBO パターンは、エージェントが複数の下流サービスまたはテナントの前面にあり、インバウンドトークンのオーディエンスが下流 API と異なる場合にのみ必須である。インバウンドオーディエンスがすでに下流サービスと一致するシングルテナントエージェントの場合、直接的なトークン転送で十分な可能性がある。実装にはエージェントランタイム、認可サーバー、下流 API 間の調整が必要だが、Bedrock AgentCore Gateway と AgentCore Identity はこの交換を透過的に処理することでその調整負担を軽減する。

ディスカッション

まだコメントがありません。最初のコメントを投稿しましょう!

ログインして議論に参加

関連記事

AIニュースを毎日お届け

200以上のソースから厳選したAIニュースを毎日無料でお届けします。

無料で始める

登録無料・30秒で完了・いつでも解除できます

毎朝1分、AIの要点だけ。

200媒体以上・Email/LINE/Slack 対応

無料で受け取る →