Die Entwicklung von KI-Agenten ist heute einfacher denn je. Mit der richtigen Infrastruktur verbinden Sie APIs, MCP-Server oder eingebettete Fähigkeiten, integrieren ein Sprachmodell und testen die Funktionalität. Doch der entscheidende Schritt folgt erst später: die Autorisierung.
Ohne klare Zugriffsregeln weiß der Agent nicht, wer eine Anfrage stellt – und welche Daten dieser Nutzer einsehen darf. Besonders in mehrmandantenfähigen Umgebungen wird die Kontrolle über Berechtigungen zur zentralen Herausforderung.
Die Lösung liegt in einem systematischen Rollen-basierten Zugriffskontrollsystem (RBAC), das sich nahtlos in die Architektur von Amazon Bedrock AgentCore integrieren lässt. Mit OAuth-Scope-basierter Authentifizierung, Cedar-Policies und Gateway-Interceptors schaffen Sie deterministische Sicherheitsmechanismen für nicht-deterministische KI-Agenten.
Dieser Leitfaden zeigt Ihnen, wie Sie in drei Schritten eine sichere, skalierbare und zukunftsfähige Infrastruktur für Ihre KI-Agenten aufbauen – inklusive praktischer Code-Beispiele und bewährter Best Practices.
Wer handelt? Authentifizierung über Identitätsanbieter
Der erste Schritt zur sicheren KI-Agenten-Architektur beginnt mit der Beantwortung einer fundamentalen Frage: Wer führt die Anfrage aus? Ohne zuverlässige Identitätsprüfung können selbst die besten Agenten keine sinnvollen Zugriffsbeschränkungen durchsetzen.
Moderne Identitätsanbieter (IdPs) wie Amazon Cognito, Okta oder Microsoft Entra ID bieten hier eine robuste Lösung. Nutzer authentifizieren sich über OAuth 2.0 oder OpenID Connect und erhalten ein JSON-Web-Token (JWT), das ihre Identität bestätigt. Dieses Token enthält wichtige Claims – darunter die Nutzer-ID, Gültigkeitsdauer und vor allem die zugewiesenen Berechtigungen.
Damit der Agent diese Tokens verarbeiten kann, muss er sie jedoch zunächst validieren. Folgende Prüfungen sind dabei zwingend erforderlich:
- Signaturprüfung: Das Token muss von einer vertrauenswürdigen Quelle stammen und darf nicht manipuliert sein.
- Ablaufprüfung: Das Token darf nicht abgelaufen sein.
- Zielgruppenprüfung: Das Token muss für die richtige Anwendung ausgestellt sein.
Hier kommt Amazon Bedrock AgentCore Runtime ins Spiel. Die Plattform übernimmt die gesamte Validierung automatisch, sobald Sie eine entsprechende Konfiguration vornehmen. Sie müssen lediglich den IdP angeben, und der Runtime lädt die öffentlichen Schlüssel (JWKS) vom Discovery-Endpunkt des Anbieters. Anschießend werden Signatur, Ablauf und Zielgruppe geprüft – ohne zusätzlichen Codeaufwand.
Beispielkonfiguration für Amazon Cognito:
import boto3
client = boto3.client('bedrock-agentcore-control', region_name='us-east-1')
response = client.create_agent_runtime(
agentRuntimeName='hr-agent-runtime',
agentRuntimeArtifact={
'containerConfiguration': {
'containerUri': '<account>.dkr.ecr.us-east-1.amazonaws.com/hr-agent:latest'
}
},
authorizerConfiguration={
'customJWTAuthorizer': {
'discoveryUrl': '
'allowedClients': ['hr-api-client']
}
},
networkConfiguration={'networkMode': 'PUBLIC'},
roleArn='arn:aws:iam::<account>:role/AgentRuntimeRole'
)Ab diesem Zeitpunkt können nur noch authentifizierte Nutzer mit gültigen Tokens auf die Agenten zugreifen. Die Runtime stellt sicher, dass alle Anforderungen durch eine vertrauenswürdige Quelle legitimiert sind.
Was darf der Nutzer? Scope-basierte Berechtigungen definieren
Die Authentifizierung ist abgeschlossen – der Nutzer ist identifiziert. Doch welche Aktionen darf er ausführen? Nur mit klaren Berechtigungsregeln vermeiden Sie Datenlecks oder ungewollte Manipulationen.
Der Schlüssel liegt in der Definition von OAuth-Scope-basierten Berechtigungen, die direkt in den JWT-Tokens des IdPs enthalten sind. Jeder Scope repräsentiert eine spezifische Zugriffsebene. Beispielsweise könnte ein Nutzer mit dem Scope api/read Daten einsehen, aber keine Änderungen vornehmen, während ein Scope api/admin umfassende Rechte gewährt.
Ein typisches JWT-Token mit Scopes sieht wie folgt aus:
{
"sub": "user@company.com",
"iss": "
"aud": ["your-api-client"],
"exp": 1715612345,
"iat": 1715608745,
"scope": "api/read api/write",
"groups": ["standard-users"]
}Wichtige Claims im Überblick:
sub: Eindeutige Nutzer-ID
iss: Ausstellende Instanz (Ihr IdP)
aud: Zielgruppe (Ihre Anwendung)
exp: Gültigkeitsdatum des Tokens
scope: Liste der OAuth-Scope-basierten Berechtigungen
groups: Zugehörigkeiten zu Benutzergruppen oder Rollen
Die Zuordnung von Rollen zu Scopes lässt sich flexibel gestalten. Ein Beispiel:
- Vollzugriff:
api/read api/write api/admin– Zugriff auf alle Tools und Daten
- Standardnutzer:
api/read api/write– Lesen und Schreiben, aber keine administrativen Funktionen
- Schreibgeschützter Zugriff:
api/read– Nur Daten einsehen
Die Scopes allein reichen jedoch nicht aus. Sie müssen durchgesetzt werden – und genau hier kommt der nächste Schritt ins Spiel.
Unerlässlich: Durchsetzung der Berechtigungen durch AgentCore Gateway
Auch wenn der Agent bereits über Scopes in seinem JWT-Token verfügt, bedeutet das noch lange nicht, dass diese auch respektiert werden. KI-Agenten treffen Entscheidungen auf Basis natürlicher Sprache und können daher leicht durch manipulative Eingaben umgangen werden. Ein geschickter Prompt könnte den Agenten beispielsweise dazu verleiten, ein Tool aufzurufen, für das der Nutzer keine Berechtigung hat.
Hier setzt Amazon Bedrock AgentCore Gateway an. Diese Komponente fungiert als zentrale Kontrollinstanz zwischen dem Agenten-Runtime und den zugrundeliegenden Tools. Jeder Tool-Aufruf durchläuft den Gateway – und dort werden die OAuth-Scope-basierten Berechtigungen überprüft.
Zusätzlich zur Scope-Prüfung validiert der Gateway das JWT-Token unabhängig von der Runtime. Dies folgt dem Prinzip der Defense-in-Depth: Jede Schicht der Architektur prüft die Authentizität des Nutzers und die Gültigkeit seiner Tokens, was die Sicherheit weiter erhöht.
Beispielkonfiguration für den Gateway:
import boto3
client = boto3.client('bedrock-agentcore-control', region_name='us-east-1')
response = client.create_gateway(
name='hr-agent-gateway',
protocolType='MCP',
authorizerType='CUSTOM_JWT',
authorizerConfiguration={
'customJWTAuthorizer': {
'allowedClients': ['hr-api-client'],
'discoveryUrl': '
}
},
roleArn='arn:aws:iam::<account>:role/GatewayServiceRole'
)Der Gateway stellt sicher, dass nur solche Tool-Aufrufe ausgeführt werden, für die der Nutzer explizit berechtigt ist. Selbst wenn der Agent aufgrund seiner nicht-deterministischen Natur einen unautorisierten Aufruf vorschlägt, wird dieser blockiert – bevor er Schaden anrichten kann.
Fazit: Zukunftssichere KI-Agenten mit RBAC
Die Kombination aus OAuth-Scope-basierter Authentifizierung, Cedar-Policies und Gateway-basierter Durchsetzung schafft eine robuste Sicherheitsarchitektur für KI-Agenten auf Amazon Bedrock AgentCore. Diese Lösung skaliert nicht nur mit wachsenden Nutzerzahlen, sondern bietet auch die Flexibilität, Berechtigungen dynamisch anzupassen – etwa durch die Integration zusätzlicher Identity-Provider oder die Anpassung von Scope-Definitionen an neue Unternehmensanforderungen.
Mit dieser dreistufigen Strategie eliminieren Sie nicht nur Sicherheitsrisiken, sondern schaffen auch die Grundlage für vertrauenswürdige, mehrmandantenfähige KI-Lösungen. Die Zukunft der KI-gestützten Automatisierung liegt in der intelligenten Verknüpfung von Kontext, Berechtigungen und Kontrolle – und genau das setzen Sie mit dieser Architektur um.
Die bereitgestellten Code-Beispiele und Best Practices bieten einen schnellen Einstieg. Für Unternehmen, die bereits komplexe RBAC-Systeme nutzen, lassen sich diese Prinzipien nahtlos in bestehende Infrastrukturen integrieren. So stellen Sie sicher, dass Ihre KI-Agenten nicht nur leistungsfähig, sondern auch sicher und konform mit unternehmensinternen sowie gesetzlichen Vorgaben sind.
KI-Zusammenfassung
AI ajanlarınız için güvenli çok kullanıcılı erişim kontrolü oluşturun. Amazon Bedrock AgentCore ile RBAC uygulamak için 3 basit adım.
