AWS: Bedrock AgentCoreプールモデルマルチテナンシー——共有インフラ、分離されたテナント

AWSは本番SaaS AIエージェントのリファレンスアーキテクチャパターン——Amazon Bedrock AgentCoreプラットフォーム内のプールモデルマルチテナンシー——を発表しました。

マルチテナンシーとは何か、なぜSaaS AIにとって重要なのか？

マルチテナンシーとは、複数の独立したユーザー——テナント——が同じインフラを共有しながら、データ、権限、リソースが互いに厳密に分離されているアーキテクチャです。SaaS環境のAIエージェントにとって、これは特に要求が高いものです。エージェントは誰が呼び出しているのか、どのツールにアクセスできるのか、どのデータを返すことができるのかを知る必要があります——しかもリアルタイムで各テナントに対して個別に。

3層の分離階層

AgentCoreソリューションは3つの明確な分離レベルを導入します：Tier → Tenant → User。ティアレベルでは、2つのサービスクラスが区別されます。BasicティアはMistral 3 8B Instructモデルを使用し、1秒あたり2リクエスト、最大1日50リクエストの制限があります。Premiumティアは1秒あたり10リクエスト、1日500リクエストを提供するOpenAI GPT OSS 120Bモデルを提供します——はるかに強力なモデルで5倍のキャパシティです。

強固な分離を確保するメカニズム

ティアごとのツール境界はCedar認証ポリシーで定義されます——アプリケーションコードにハードコードされたロジックなしに、各ティアが何をできるかを記述する宣言型言語です。

メモリ分離には、ABACモデル（属性ベースのアクセス制御）と組み合わせたToken Vending Machine（TVM）を使用します。TVMはテナント属性が埋め込まれた短命のトークンを発行するため、メモリレイヤーはどのテナントがどのデータにアクセスできるかを自動的に認識します。

3番目の重要な要素はOpenTelemetryバゲージメカニズムで、テナントメタデータ——テナント識別子、ティアレベル、権限スコープ——をリクエストのライフサイクル全体、入力APIコールからエージェントの応答まで伝播します。これにより、チェーン内の各マイクロサービスは追加のデータベースコールなしにコンテキストを認識します。

リファレンス例：医療プラットフォーム

AWSは医療SaaSを主要な例として説明しています。病院（テナント）が医療データ処理のための同じAIエージェントを共有しますが、Cedarポリシーにより、同じエージェント呼び出し内でさえ、ある施設の患者記録が別の施設からアクセスできないことが保証されます。

このパターンは、各テナントが独自の分離されたインスタンスを取得してインフラコストを倍増させるアドホックなアプローチに代わる、マルチテナントAIエージェントの本番標準を設定します。