Il gateway di Amazon Bedrock frena l’innovazione
Amazon Bedrock AgentCore usa un gateway centralizzato con Lambda e Cedar per controllare l'accesso agli agenti AI, garantendo sicurezza ma rischiando colli di bottiglia.
Il gateway centralizzato di Bedrock AgentCore promette sicurezza ma rischia di frenare l’innovazione
L’idea è semplice sulla carta: ogni richiesta a un agente AI deve passare da un gateway centralizzato, dove Lambda interceptors e Policy Cedar per il controllo accessi decidono se eseguirla o bloccarla. Nella pratica, Amazon Bedrock AgentCore sta costruendo un sistema di governance granulare che promette di tenere al sicuro agenti e strumenti, ma rischia di trasformarsi in un collo di bottiglia per i team che vogliono iterare velocemente su nuove capacità agentiche.
Lambda interceptors e Cedar: due livelli di difesa
Il gateway AgentCore applica un doppio filtro. Prima interviene un Lambda interceptor, che può ispezionare la richiesta ed eventualmente modificarla o rifiutarla. Solo dopo viene valutata la policy scritta in Cedar, il linguaggio dichiarativo di AWS per il controllo accessi deterministico. Amazon ha scelto l’ordine di esecuzione: Lambda interceptor prima di Cedar, dando agli sviluppatori la possibilità di inserire logiche personalizzate prima che la policy prenda decisioni irrevocabili.
La policy stessa segue una semantica deny-by-default in Cedar: tutto ciò che non è esplicitamente permesso viene bloccato.
Per dimostrare la granularità, il team ha pubblicato uno scenario assicurativo con ruoli utente: policyholder (vede solo i propri sinistri), adjuster (gestisce i sinistri assegnati) e amministratore (accesso completo). Le regole sono espresse con regole permit/forbid di Cedar su principal, action e resource, con condizioni opzionali. Il mapping ruoli-strumenti in DynamoDB associa ogni ruolo agli strumenti che può chiamare, e AWS Lake Formation completa la difesa con sicurezza a livello di riga con Lake Formation, applicata al momento della query.
L’intero sistema si basa sull’idea che un agente AI debba operare con alti livelli di fiducia e affidabilità. Amazon ha spiegato che il suo approccio di Amazon agli agenti AI affidabili richiede proprio questi due requisiti: trust e reliability. Il gateway centralizzato è il meccanismo per garantirli, ma a quale costo?
Il prezzo della centralizzazione
Un gateway unico significa che ogni nuova funzionalità, ogni nuovo strumento o agente deve passare per lo stesso collo di bottiglia. I team che vogliono sperimentare rapidamente si trovano a dover negoziare policy, configurare interceptors e attendere aggiornamenti della pipeline di governance. Amazon ha introdotto il framework AgentOps proprio per operazionalizzare l’IA agentica su scala, con quattro colonne: Governance e Sicurezza, Build e Operazioni, Valutazione, Osservabilità e Monitoraggio. Il AgentOps: operazionalizzare l’IA agentica su scala include già una fase Plan dettagliata, in cui si valutano rischi, etica, conformità e si definiscono i punti di supervisione umana. Questa Fase Plan del framework AgentOps è pensata per ridurre i rischi, ma ogni nuovo agente deve attraversarla, e la burocrazia può rallentare l’innovazione.
Per aiutare i team a gestire i rischi, Amazon propone una matrice di sicurezza per IA agentica in AgentOps, una griglia che aiuta a classificare minacce e contromisure. Ma il punto è strutturale: la centralizzazione del controllo in un gateway unico, per quanto elegante sul piano architetturale, introduce un punto di attrito che chi costruisce agenti deve considerare fin dal design.
La lezione per chi costruisce è chiara: non basta implementare lambda interceptor e policy Cedar; bisogna progettare la pipeline di governance in modo che possa evolvere senza bloccare l’iterazione. Separare ambienti di sviluppo, staging e produzione, con policy meno restrittive per i primi, potrebbe essere una soluzione. Altrimenti, il prezzo della sicurezza si paga in velocità di innovazione.
