AWS: Bedrock AgentCore Pool-Modell-Mandantenfähigkeit — gemeinsame Infrastruktur, isolierte Mandanten

AWS hat ein Referenzarchitekturmuster für Produktions-SaaS-KI-Agenten veröffentlicht — Pool-Modell-Mandantenfähigkeit innerhalb der Amazon Bedrock AgentCore-Plattform.

Was ist Mandantenfähigkeit, und warum ist sie für SaaS-KI entscheidend?

Mandantenfähigkeit bezeichnet eine Architektur, bei der mehrere unabhängige Nutzer — Mandanten — dieselbe Infrastruktur teilen, ihre Daten, Berechtigungen und Ressourcen jedoch streng voneinander isoliert bleiben. Für KI-Agenten in SaaS-Umgebungen ist dies besonders anspruchsvoll: Ein Agent muss wissen, wer ihn aufruft, auf welche Werkzeuge er zugreifen darf und welche Daten er zurückgeben darf — und das für jeden Mandanten separat, in Echtzeit.

Dreistufige Isolierungshierarchie

Die AgentCore-Lösung führt drei klare Isolierungsebenen ein: Tier → Mandant → Nutzer. Auf Tier-Ebene werden zwei Serviceklassen unterschieden. Der Basic Tier nutzt das Modell Mistral 3 8B Instruct mit einem Limit von 2 Anfragen pro Sekunde und maximal 50 Anfragen pro Tag. Der Premium Tier bietet das Modell OpenAI GPT OSS 120B mit 10 Anfragen pro Sekunde und 500 täglich — fünfmal höhere Kapazität bei einem deutlich leistungsfähigeren Modell.

Mechanismen für starke Isolation

Tier-spezifische Werkzeuggrenzen werden durch Cedar-Autorisierungsrichtlinien definiert — eine deklarative Sprache, die beschreibt, was welcher Tier tun darf, ohne hartcodierte Logik im Anwendungscode.

Für die Speicherisolierung verwendet das System einen Token Vending Machine (TVM) in Kombination mit dem ABAC-Modell (Attribute-Based Access Control). Der TVM stellt kurzlebige Token mit eingebetteten Mandantenattributen aus, sodass die Speicherschicht automatisch weiß, auf welche Daten welcher Mandant zugreifen darf.

Das dritte Schlüsselelement ist der OpenTelemetry-Baggage-Mechanismus, der Mandantenmetadaten — Mandantenkennung, Tier-Ebene, Berechtigungsumfang — durch den gesamten Anfragelebenszyklus propagiert, vom eingehenden API-Aufruf bis zur Agentenantwort. Auf diese Weise kennt jeder Microservice in der Kette den Kontext ohne zusätzliche Datenbankabfragen.

Referenzbeispiel: Gesundheitsplattform

AWS nennt Healthcare-SaaS als primäres Beispiel: Krankenhäuser (Mandanten) teilen dieselben KI-Agenten für die Verarbeitung medizinischer Daten, aber Cedar-Richtlinien garantieren, dass Patientenakten einer Einrichtung niemals für eine andere zugänglich sind, selbst innerhalb desselben Agentenaufrufs.

Dieses Muster setzt den Produktionsstandard für mandantenfähige KI-Agenten — als Ersatz für den Ad-hoc-Ansatz, bei dem jeder Mandant eine eigene isolierte Instanz erhält und damit die Infrastrukturkosten vervielfacht.