AWS：Bedrock AgentCore池模型多租户——共享基础设施，隔离租户

AWS发布了面向生产级SaaS AI Agent的参考架构模式——Amazon Bedrock AgentCore平台内的池模型多租户方案。

什么是多租户，为何对SaaS AI至关重要？

多租户是指多个独立用户（租户）共享同一基础设施，但其数据、权限和资源严格隔离的架构。对于SaaS环境中的AI Agent而言，这一要求尤为苛刻：Agent必须实时知道是谁在调用它、可以访问哪些工具、应该返回哪些数据——且需针对每个租户独立判断。

三层隔离层级

AgentCore方案引入三个清晰的隔离层：Tier→Tenant→User。在Tier层面区分两类服务等级。基础层使用Mistral 3 8B Instruct模型，每秒限制2个请求，每日最多50个请求。高级层提供OpenAI GPT OSS 120B模型，每秒10个请求，每日500个——容量是基础层的五倍，且模型能力显著更强。

确保严格隔离的机制

各层的工具边界由Cedar授权策略定义——一种声明式语言，描述各层可执行的操作，无需在应用程序代码中硬编码逻辑。

内存隔离由令牌自动售货机（TVM）结合ABAC（基于属性的访问控制）模型实现。TVM签发内嵌了租户属性的短期令牌，内存层因此能自动识别各租户有权访问的数据。

第三个关键要素是OpenTelemetry Baggage机制，它在整个请求生命周期——从入站API调用到Agent响应——中传播租户元数据（租户标识符、Tier级别、权限范围），使调用链上的每个微服务无需额外数据库查询即可获知上下文。

参考案例：医疗平台

AWS以医疗SaaS为主要示例：医院（租户）共享同一套AI Agent处理医疗数据，但Cedar策略保证一家机构的患者记录在任何情况下都不会被另一家机构访问，即便在同一个Agent调用中。

这一模式为多租户AI Agent确立了生产级标准，取代了为每个租户部署独立隔离实例的临时方案——后者会成倍增加基础设施成本。