AWS presented two WAF protection patterns for Amazon Bedrock AgentCore Runtime
AWS published guidance with two architectural patterns for protecting Amazon Bedrock AgentCore Runtime with AWS WAF. The first option adds a Lambda proxy…
AI-processed from AWS Machine Learning Blog; edited by Hamidun News
AWS в блоге Machine Learning опубликовала руководство с двумя архитектурными паттернами для защиты Amazon Bedrock AgentCore Runtime через AWS WAF, протестированными с аутентификацией SigV4 и OAuth через Amazon Cognito JWT.
Зачем AgentCore Runtime нужна защита WAF
AgentCore Runtime — компонент Amazon Bedrock для запуска AI-агентов в production — по умолчанию не имеет встроенной фильтрации на уровне веб-приложения. Без дополнительной архитектуры злоумышленник может атаковать агента инъекциями, DDoS или подделкой запросов, обратившись к сервису напрямую.
AWS WAF (Web Application Firewall) позволяет блокировать известные векторы атак, ограничивать скорость запросов и применять управляемые группы правил ещё до того, как запрос достигнет агента. Оба представленных паттерна используют интернет-доступный Application Load Balancer (ALB) с подключённым AWS WAF и маршрутизируют трафик через VPC Interface Endpoint к AgentCore Runtime.
Ключевые параметры обоих решений:
- ALB открыт для интернета, AWS WAF инспектирует каждый входящий запрос
- Трафик направляется через VPC Interface Endpoint к AgentCore Runtime
- Политика ресурсов запрещает прямой обход WAF
- Поддерживается аутентификация SigV4 и OAuth (Amazon Cognito JWT)
- Оба паттерна протестированы в сценариях end-to-end
Паттерн 1 против Паттерна 2: в чём разница
Паттерн 1 добавляет AWS Lambda между ALB и VPC Endpoint в роли прокси. Функция получает запрос после фильтрации WAF, может преобразовывать его — добавлять заголовки, нормализовать пути, изменять тело — и затем передаёт в AgentCore через VPC Endpoint. Это даёт максимальный контроль над трафиком, особенно полезный, если требуется логика трансформации или дополнительная валидация перед агентом. Плата за это — дополнительная задержка и стоимость Lambda-вызовов.
Паттерн 2 убирает Lambda-хоп полностью: ALB напрямую обращается к IP-адресам ENI (Elastic Network Interface) VPC Interface Endpoint. Это более прямолинейная схема с меньшей задержкой и без накладных расходов Lambda. Подходит, когда трансформация запросов не нужна, а приоритет — минимальная латентность при сохранении защиты WAF.
«Оба паттерна протестированы end-to-end с
SigV4 и OAuth (Amazon Cognito JWT) аутентификацией», — отмечает AWS в блоге Machine Learning.
Как закрыть backdoor через политику ресурсов
Самая критичная часть обоих паттернов — правильная настройка политики ресурсов AgentCore Runtime. Без неё защита WAF теряет смысл: злоумышленник может узнать публичный эндпоинт AgentCore и обратиться к нему напрямую, полностью обходя ALB и WAF.
Решение — условие `aws:SourceVpce` в политике ресурсов. Оно разрешает вызовы к AgentCore только через конкретный VPC Interface Endpoint, что гарантирует прохождение всего трафика через ALB и AWS WAF. Прямой backdoor закрыт на уровне политики IAM.
Такой подход реализует принцип Defence in Depth: WAF — первый рубеж фильтрации, политика ресурсов — второй, исключающий обход первого.
Что это значит
Руководство AWS даёт разработчикам AI-агентов на Bedrock готовые, протестированные паттерны вместо самостоятельного изобретения схем защиты. Выбор между ними прост: если нужна трансформация запросов — Паттерн 1 с Lambda, если важнее скорость и простота — Паттерн 2 с прямым маршрутом к ENI.
Частые вопросы
Какие методы аутентификации поддерживают оба паттерна?
Оба паттерна протестированы с AWS SigV4 (подпись запросов через ключи доступа AWS) и OAuth с токенами Amazon Cognito JWT. Выбор зависит от архитектуры приложения.
Почему недостаточно просто включить WAF без политики ресурсов?
AWS WAF защищает только трафик, проходящий через ALB. Если не закрыть прямой доступ к эндпоинту AgentCore политикой ресурсов с условием `aws:SourceVpce`, злоумышленник может обойти WAF, обратившись к AgentCore напрямую по публичному адресу.
Want to stop reading about AI and start using it?
AI News is a curated feed of AI/tech news. Hamidun Academy teaches you to use AI systematically in your work.
The AI world, distilled — once a week
Seven stories that actually mattered, hand-picked. No noise, no reposts, no press releases.
Done! Check your inbox for a confirmation.