AWS: Bedrock AgentCore 풀 모델 멀티테넌시 — 공유 인프라, 격리된 테넌트

AWS가 Amazon Bedrock AgentCore 플랫폼 내에서 프로덕션 SaaS AI 에이전트를 위한 참조 아키텍처 패턴을 발표했습니다.

멀티테넌시란 무엇이며 SaaS AI에 왜 중요합니까?

멀티테넌시는 여러 독립적인 사용자(테넌트)가 동일한 인프라를 공유하지만 데이터, 권한, 리소스가 서로 엄격히 격리되는 아키텍처입니다. AI 에이전트가 있는 SaaS 환경에서 이는 특히 까다롭습니다. 에이전트는 누가 호출하는지, 어떤 도구에 접근할 수 있는지, 각 테넌트별로 실시간으로 어떤 데이터를 반환할 수 있는지 알아야 합니다.

3단계 격리 계층

AgentCore 솔루션은 Tier → Tenant → User의 세 가지 명확한 격리 수준을 도입합니다. 티어 수준에서는 두 가지 서비스 클래스가 구분됩니다. Basic 티어는 초당 2개 요청, 일일 최대 50개 요청 제한으로 Mistral 3 8B Instruct 모델을 사용합니다. Premium 티어는 초당 10개 요청, 일일 500개 제한으로 OpenAI GPT OSS 120B 모델을 제공합니다. 5배 더 큰 용량과 훨씬 강력한 모델입니다.

강력한 격리를 보장하는 메커니즘

티어별 도구 경계는 Cedar 인가 정책으로 정의됩니다. 어떤 티어가 무엇을 할 수 있는지를 설명하는 선언적 언어로, 애플리케이션 코드에 하드코딩된 로직이 없습니다.

메모리 격리를 위해 시스템은 ABAC(속성 기반 접근 제어) 모델과 결합한 Token Vending Machine(TVM)을 사용합니다. TVM은 테넌트 속성이 내장된 단기 토큰을 발행하므로 메모리 계층이 어떤 테넌트가 어떤 데이터에 접근할 수 있는지 자동으로 알 수 있습니다.

세 번째 핵심 요소는 OpenTelemetry 배기지 메커니즘으로, 입력 API 호출부터 에이전트 응답까지 전체 요청 수명 주기에 걸쳐 테넌트 메타데이터(테넌트 식별자, 티어 수준, 권한 범위)를 전파합니다. 이를 통해 체인의 모든 마이크로서비스가 추가 데이터베이스 호출 없이 맥락을 알 수 있습니다.

참조 예시: 의료 플랫폼

AWS는 의료 SaaS를 주요 예시로 설명합니다. 병원(테넌트)이 동일한 AI 에이전트를 공유해 의료 데이터를 처리하지만, Cedar 정책이 한 기관의 환자 기록이 에이전트 호출 내에서도 다른 기관에 접근 불가능함을 보장합니다.

이 패턴은 각 테넌트가 자체 격리 인스턴스를 받아 인프라 비용을 배가시키는 임시방편 접근법을 대체하는 멀티테넌트 AI 에이전트의 프로덕션 표준을 제시합니다.