AWS łączy agentów AI z bazami wiedzy między kontami

Organizacje, które rozdzieliły swoje zasoby AWS między wiele kont, właśnie dostały rozwiązanie problemu, o którym wolały nie mówić głośno. Agenci AI w Amazon Bedrock mogą teraz sięgać po dane z baz wiedzy znajdujących się na innych kontach AWS. Bez konieczności kopiowania terabajtów dokumentacji. Bez budowania skomplikowanych obejść.

AWS opublikował właśnie praktyczny przewodnik pokazujący, jak połączyć agentów Bedrock z bazami wiedzy działającymi w zupełnie innych kontach. To odpowiedź na realne potrzeby firm, które z powodów bezpieczeństwa, compliance'u czy po prostu historycznych decyzji architektonicznych mają swoje zasoby rozproszone po wielu kontach.

Dlaczego wielokontowe architektury to problem

Duże organizacje rzadko trzymają wszystko na jednym koncie AWS. Jeden zespół ma swoje środowisko deweloperskie, drugi produkcyjne, trzeci testowe. I nagle okazuje się, że agent AI potrzebuje dostępu do dokumentacji technicznej z konta A, danych klientów z konta B i procedur operacyjnych z konta C.

Dotychczas oznaczało to albo replikację danych (co generuje koszty i problemy z synchronizacją), albo budowanie własnych mostków integracyjnych. Teraz Amazon Bedrock oferuje natywną integrację międzykontową. Działa na poziomie uprawnień IAM i polityk zasobów.

Jak działa połączenie między kontami

Mechanizm opiera się na trzech elementach: polityce zasobów dla bazy wiedzy (resource-based policy), roli IAM w koncie źródłowym oraz odpowiedniej konfiguracji agenta w koncie docelowym. Baza wiedzy w koncie A otrzymuje politykę zezwalającą na dostęp z konta B. Agent w koncie B używa roli IAM z uprawnieniami do wywoływania tej bazy.

AWS szczegółowo opisuje proces konfiguracji. Znajdziesz tam tworzenie polityk JSON, definiowanie ról cross-account oraz testowanie połączeń. Całość działa na zasadzie jawnego zaufania między kontami – żadna strona nie dostaje więcej uprawnień niż absolutnie konieczne (zgodnie z zasadą least privilege).

Zastosowania w rzeczywistych scenariuszach

Typowy przypadek użycia? Firma ma centralne repozytorium wiedzy w jednym koncie, ale różne działy budują swoich własnych agentów AI w oddzielnych kontach. Dział HR tworzy asystenta do polityk pracowniczych, dział IT buduje pomocnika technicznego, a dział sprzedaży rozwija agenta do obsługi klientów. Wszyscy czerpią z tej samej, centralnie zarządzanej bazy wiedzy.

Inne scenariusze obejmują organizacje z wydzielonymi środowiskami dla różnych klientów (multi-tenant), firmy po fuzjach i przejęciach (gdzie integracja kont to proces rozciągnięty w czasie) oraz te, które muszą spełniać regulacje wymagające separacji danych między jednostkami biznesowymi.

Co to oznacza dla zespołów DevOps

Dla architektów i inżynierów to konkretne ułatwienie. Zamiast projektować własne rozwiązania proxy czy API gateway między kontami, możesz wykorzystać natywną funkcjonalność Bedrock. Mniej kodu do utrzymania. Lepsza integracja z AWS CloudTrail (audyt dostępu). Prostsze zarządzanie uprawnieniami.

AWS udostępnia przykładowe szablony CloudFormation i Terraform, które przyspieszają wdrożenie. Dokumentacja zawiera też sekcję troubleshootingu z typowymi błędami uprawnień (bo w świecie IAM każdy przecinek w polityce ma znaczenie).

Źródła

• AWS Machine Learning Blog - Connect Amazon Bedrock agents to cross-account knowledge bases