Amazon Bedrock AgentCore incorpora Policy para controlar el acceso de los agentes de AI

Amazon Bedrock AgentCore recibió Policy para controlar el acceso de agentes IA

Amazon ha descrito cómo Bedrock AgentCore ahora cuenta con un mecanismo Policy separado para proteger agentes IA. Su tarea es verificar el acceso a herramientas y datos no por el "sentido común" del modelo, sino por reglas estrictas que se ejecutan independientemente de su razonamiento y trasladan la seguridad fuera de los prompts a una capa de infraestructura gestionada.

Capa separada de reglas

La idea clave es que Policy en AgentCore crea una capa de control determinística. Incluso si el agente decidió que para proporcionar una respuesta debería abrir un servicio interno, descargar un archivo o llamar a una herramienta con privilegios elevados, la decisión final no la toma él. La solicitud pasa por un sistema de reglas separado, y solo él determina si la acción está permitida o no. Este enfoque reduce el riesgo cuando un modelo malinterpreta instrucciones, entiende la tarea del usuario demasiado ampliamente o intenta acceder a datos que no debería ver.

AWS también describe una forma más conveniente de configurar tales restricciones. Las reglas comerciales pueden formularse primero en lenguaje natural, luego traducirse en políticas Cedar — un lenguaje diseñado para la descripción precisa de permisos. En lugar de un prompt vago como "no muestres documentos de otras personas," hay una verificación formal: a quién, bajo qué condiciones y con qué derechos puede un agente realmente abrir la herramienta o conjunto de datos necesario. Para escenarios corporativos, esto importa más que otra capa de instrucciones en el propio prompt.

Para agentes, esto es especialmente importante en escenarios largos de múltiples pasos. Un modelo puede iniciar correctamente una tarea, luego durante la cadena decidir que necesita una herramienta más o acceso más amplio. Sin una política externa, tales expansiones a menudo se controlan solo por el prompt. Policy en AgentCore ofrece un esquema más rígido: cada nuevo paso se revalúa contra las reglas, incluso si el agente en sí está confiado en que actúa en el interés del usuario.

Verificación en la puerta de enlace

En la práctica, Policy se aplica a través de AgentCore Gateway. Esta puerta de enlace intercepta cada solicitud del agente a la herramienta durante la ejecución y la verifica antes de que se ejecute la acción. En otras palabras, esto no es una configuración única al inicio de una sesión, sino control en tiempo de ejecución: un agente puede hacer docenas de solicitudes a APIs, bases de datos, almacenamiento de archivos y servicios internos, y cada uno de estos pasos se somete a evaluación de política. Esto hace que la protección sea más cercana al comportamiento real del agente, en lugar de sus intenciones iniciales.

• Quién exactamente inició la solicitud: un usuario específico, rol o grupo
• Qué herramienta está accediendo el agente y qué acción desea realizar
• Si el usuario tiene derecho a ver estos datos o ejecutar este workflow
• Si el acceso debe denegarse, permitirse o restringirse según el contexto

El énfasis principal aquí está en el acceso consciente de identidad. Un agente no recibe un permiso abstracto como "trabajar con CRM" o "leer documentos," sino derechos vinculados a la identidad y autoridad del usuario en cuyo nombre actúa. Si un empleado tiene acceso solo a parte de los registros de clientes, el agente debe ver el mismo límite. Si un gerente tiene acceso a un conjunto de herramientas y un analista a otro, esto también debe aplicarse automáticamente. Este enfoque es especialmente útil donde el mismo agente atiende a diferentes empleados con diferentes niveles de acceso.

Como resultado, Bedrock AgentCore ofrece no solo guardrails para respuestas, sino un modelo más estricto de gestión de acciones.

Qué significa esto

Amazon se está moviendo hacia agentes IA más maduros para empresas, donde no solo importa una interfaz inteligente, sino también la ejecución predecible de reglas. Si este enfoque prospera, las empresas podrán conectar agentes a sistemas internos sin depender constantemente de la cuidadosidad del modelo. El control de acceso se convertirá en una capa externa y verificable, lo que significa que se puede confiar a los agentes tareas reales — desde búsqueda de datos hasta ejecución de herramientas en nombre de un empleado.