top of page
banner_eigenwerbung_ittbusiness.jpg

Sichere Identitäten für KI-Agenten mit Amazon Bedrock AgentCore

  • vor 5 Tagen
  • 2 Min. Lesezeit

IT-Praxis-Tipp 2 von AWS Solutions Architect Kay-Michael Kroedel: In vielen Unternehmen kommen zunehmend KI-gestützte Anwendungen zum Einsatz, die im Auftrag von Anwenderinnen und Anwendern auf externe Dienste wie Kalender- oder CRM-Systeme zugreifen. Dabei stellt sich die zentrale Frage, wie sich sensible Zugangsdaten absichern lassen, während gleichzeitig gewährleistet bleibt, dass diese Agenten ausschließlich auf freigegebene Ressourcen zugreifen.




Foto: Amazon Web Services
Foto: Amazon Web Services

Besonders relevant ist dabei eine Lösung, die sichere Identitäten für KI-Agenten bereitstellt und die Verwaltung von OAuth-Tokens zentralisiert – idealerweise ohne bestehende Authentifizierungsprozesse grundlegend ändern zu müssen.



Zugriff von Agenten ausschließlich auf autorisierte Anmeldeinformationen


Mit Amazon Bedrock AgentCore Identity steht eine Möglichkeit zur Verfügung, Identitäten von KI-Agenten strukturiert und sicher zu verwalten. Jeder Agent erhält eine eindeutige Kennung in Form eines Amazon Resource Name (ARN). Bestehende Identity-Provider können weiterhin genutzt werden, wodurch keine Migration von Benutzerkonten oder Anpassung etablierter Login-Prozesse erforderlich ist. Ein integrierter Token-Speicher schützt OAuth-Access- und Refresh-Tokens sowie API-Schlüssel durch Verschlüsselung über den AWS Key Management Service. Zugriffsrichtlinien sorgen dafür, dass Agenten ausschließlich auf autorisierte Anmeldeinformationen zugreifen können.



Sichere Refresh-Mechanismen


Die Lösung unterstützt standardisierte OAuth-Abläufe und stellt sicher, dass Tokens sowohl an die Identität des Agenten als auch an jene des Benutzers gebunden sind. Abgelaufene Zugriffstokens werden automatisch über sichere Refresh-Mechanismen erneuert, ohne dass eine erneute Zustimmung erforderlich ist. Durch die identitätsbasierte Autorisierung kann zudem der Benutzerkontext berücksichtigt werden, sodass Zugriffsentscheidungen dynamisch und situationsabhängig getroffen werden.



Schritt für Schritt: AgentCore Identity in bestehende Systeme integrieren


  1. Authentifizierung des Benutzers: Nach der Anmeldung – etwa über Amazon Cognito oder einen bestehenden Identity Provider – wird ein Access-Token erzeugt, das bei der Interaktion mit dem KI-Agenten an das Backend übergeben wird.


  1. Token für den Agenten anfordern: Der Agent nutzt eine API, um auf Basis des Benutzer-Tokens einen eigenen Zugriffstoken zu erhalten. Dabei wird die Gültigkeit automatisch überprüft und die Verbindung zur Benutzeridentität hergestellt.


  2. Zugriff auf externe Services: Für Dienste mit OAuth-Schutz wird ein entsprechender Autorisierungsprozess gestartet. Nach Zustimmung des Benutzers wird der Zugriffstoken sicher gespeichert.


  3. Wiederverwendung von Tokens: Bereits gespeicherte Tokens können bei weiteren Anfragen direkt verwendet werden. Abgelaufene Tokens werden automatisch erneuert, ohne dass der Benutzer erneut eingreifen muss.



Fazit


AgentCore Identity ermöglicht auf diese Weise die sichere Skalierung von KI-Agenten im Unternehmen, ohne Kompromisse bei Sicherheit oder Compliance einzugehen. Die Integration in bestehende Systeme erfolgt nahtlos und reduziert den Entwicklungsaufwand erheblich.



Gastbeitrag von Kay-Michael Kroedel



Weitere IT-Praxis-Tipps von AWS Solutions Architect Kay-Michael Kroedel:



Kommentare

bottom of page