AWS ukazuje, ako izolovať tenantov v zdieľaných AI agentoch

AWS zverejnil technický návod na pool model multi-tenancy pre Amazon Bedrock AgentCore. Ide o jeden z praktických problémov, ktorý sa objaví hneď po prvých úspešných demo agentoch: ako prevádzkovať tú istú agentickú aplikáciu pre viac zákazníkov, kliník, tímov alebo obchodných jednotiek bez toho, aby sa miešali dáta, náklady, pamäť a oprávnenia.

Pool model znamená, že tenantov neoddeľuje úplne samostatná infraštruktúra. Zdieľajú runtime, služby a časť prevádzkových komponentov, no izolácia sa vytvára logicky cez identitu, metadáta, prefixy, IAM pravidlá, namespace pamäte a rate limity. Takýto model je lacnejší a jednoduchší na prevádzku než silo pre každého zákazníka, ale je aj rizikovejší, ak sa kontrolné vrstvy navrhnú povrchne.

AWS demonštruje vzor na príklade zdravotníckeho asistenta pre viac kliník a nemocníc. Architektúra pracuje s hierarchiou Tier → Tenant → User. To umožňuje nielen oddeliť jednotlivé organizácie, ale aj rozlišovať úrovne služby. Základný tier môže používať lacnejší model a obmedzenejšie nástroje, zatiaľ čo premium tier môže dostať pokročilejší model, vyššie limity a doplnkové možnosti, napríklad webové vyhľadávanie.

Kľúčovou časťou návrhu je izolácia dokumentov, znalostných báz, pamäte agenta, modelového prístupu, nástrojov, rate limitov, nákladov a observability. V agentických systémoch to nie je detail. Agent si môže pamätať konverzácie, vyhľadávať v znalostnej báze, volať nástroje a spúšťať workflow. Ak sa tenant context stratí v jednom kroku, chyba môže znamenať únik dokumentu alebo nesprávne účtovanie nákladov.

Vzor využíva Amazon Cognito na autentifikáciu a na uloženie tenant metadát do JWT claims, napríklad custom:tier, custom:clinic_id a custom:role. API Gateway následne môže presadzovať tier-based rate limiting cez usage plans. Lambda extrahuje tenant context a volá správny AgentCore agent. AgentCore Runtime, Memory, Identity, Gateway, Policy a Observability tvoria jadro agentickej prevádzky.

Na dátovej vrstve sa izolácia opiera o S3 prefixy a metadata filtering v Amazon Bedrock Knowledge Bases. Pamäť agenta má byť oddelená cez namespace. IAM ABAC pravidlá viažu prístup k zdrojom na atribúty tenantov. Takýto dizajn nie je unikátny pre AWS, ale článok ho ukazuje v konkrétnej skladbe služieb, čo je pre tímy často užitočnejšie než všeobecné odporúčanie „izolujte dáta“.

Zaujímavé je aj modelové rozlíšenie podľa tieru. Príklad používa Mistral Ministral 3 8B Instruct pre basic tier a OpenAI GPT OSS 120B pre premium tier. Nejde len o výkon modelu. Rôzne modely znamenajú rôzne náklady, latencie, schopnosti a bezpečnostné profily. Multi-tenant agent preto potrebuje rozhodovanie, ktoré nie je skryté v promptoch, ale je súčasťou architektúry a účtovania.

Pre SaaS dodávateľov je najväčšou výzvou pozorovateľnosť a priradenie nákladov. Ak agent volá modely, znalostné bázy, vyhľadávanie a nástroje, náklady sa môžu rozptýliť medzi viacero služieb. AWS preto zdôrazňuje Amazon Bedrock Projects a cost allocation tags. Bez tejto vrstvy sa ľahko stane, že agentická funkcia technicky funguje, ale obchodne nie je jasné, ktorý zákazník ju spotrebúva a či sa oplatí.

Návod má význam aj mimo zdravotníctva. Rovnaké princípy sa týkajú právnych asistentov, finančných copilotov, interných podnikových vyhľadávačov alebo spravovaných AI služieb pre malé firmy. Agentické systémy sú silnejšie než klasické chatboty práve tým, že vykonávajú akcie a držia kontext. To však zvyšuje cenu chýb v izolácii.

AWS týmto príspevkom neprináša hotový produkt pre každého zákazníka, ale referenčný vzor. Jeho odkaz je jasný: produkčný agent nie je len prompt a model. Je to identitný systém, runtime, pamäť, dátové filtre, gateway, nákladové tagy a observability. Ak sa tieto vrstvy navrhnú od začiatku, multi-tenant AI môže zostať ekonomická bez toho, aby sa rezignovalo na bezpečnosť a auditovateľnosť.