Các nhà cung cấp phần mềm dạng dịch vụ (SaaS) xây dựng ứng dụng AI trên Amazon Bedrock AgentCore thường đối mặt với thách thức phục vụ nhiều khách hàng (tenant) với các yêu cầu bảo mật khác nhau trên cùng một hạ tầng. Amazon Bedrock AgentCore giải quyết vấn đề này bằng cách hỗ trợ các chính sách dựa trên tài nguyên (resource-based policies), cho phép kiểm soát truy cập tập trung và chi tiết. Giải pháp này giúp doanh nghiệp vừa tăng cường bảo mật cho từng khách hàng, vừa tối ưu hóa chi phí và hiệu quả vận hành.
Bài toán bảo mật cho ứng dụng AI đa khách hàng (multi-tenant)
Hãy tưởng tượng bạn là một nhà cung cấp SaaS vận hành nền tảng dịch vụ khách hàng bằng AI. Bạn sử dụng AgentCore để triển khai các agent thông minh xử lý yêu cầu của khách hàng. Bạn phục vụ nhiều khách hàng doanh nghiệp, mỗi khách hàng có tài khoản AWS và yêu cầu bảo mật riêng biệt:
- Khách hàng A (Example Corp): Một tập đoàn bán lẻ lớn, hoạt động trên tài khoản AWS 111122223333. Đội ngũ phát triển và quản trị của họ cần gọi trực tiếp agent AI của bạn từ tài khoản AWS của chính họ mà không cần chia sẻ thông tin đăng nhập hay tạo người dùng IAM phức tạp. Họ không có yêu cầu hạn chế về mạng.
- Khách hàng B (AnyCompany): Một công ty trong lĩnh vực chăm sóc sức khỏe, hoạt động trên tài khoản AWS 444455556666. Do các quy định nghiêm ngặt về dữ liệu y tế (HIPAA), mọi lưu lượng truy cập đến agent AI phải xuất phát từ môi trường mạng riêng ảo (VPC) của họ. Không một lệnh gọi API nào được phép thực hiện từ bên ngoài ranh giới VPC đã được kiểm soát.
Cả hai khách hàng này đều sử dụng chung một hạ tầng agent do bạn cung cấp trên tài khoản AWS 555555555555. Việc đáp ứng đồng thời hai yêu cầu trái ngược này đòi hỏi một cơ chế phân quyền linh hoạt.
Giải pháp: Chính sách dựa trên tài nguyên của AgentCore
Để giải quyết bài toán này, AWS cho phép định nghĩa các chính sách dựa trên tài nguyên (resource-based policies) trực tiếp trên AgentCore Runtime và AgentCore Runtime endpoint. Điều này giúp tập trung hóa việc kiểm soát truy cập về phía tài nguyên của nhà cung cấp SaaS.
Khác với chính sách dựa trên định danh (identity-based policy) gắn với người dùng hoặc vai trò IAM, chính sách dựa trên tài nguyên xác định ai và trong điều kiện nào có thể truy cập vào chính tài nguyên đó. Đối với các kịch bản truy cập chéo tài khoản, AWS yêu cầu cả hai chính sách này phải cùng cho phép hành động.
Cách tiếp cận này cho phép:
- Cấp quyền truy cập chéo tài khoản cho Example Corp một cách an toàn.
- Thực thi giới hạn mạng nghiêm ngặt cho AnyCompany bằng cách sử dụng các điều kiện IAM cụ thể để đảm bảo các yêu cầu chỉ đến từ một VPC được phê duyệt.
Kiến trúc giải pháp và luồng hoạt động
Sơ đồ dưới đây minh họa kiến trúc cho nền tảng dịch vụ khách hàng AI đa khách hàng với cả hai mô hình truy cập.

Tài khoản của nhà cung cấp SaaS (555555555555) chứa AgentCore Runtime và AgentCore Runtime endpoint mà cả hai khách hàng cùng chia sẻ.
- Example Corp (111122223333) truy cập agent thông qua cơ chế chéo tài khoản bằng các vai trò IAM (DeveloperRole, AdminRole) được xác thực với SigV4. AWS sẽ đánh giá đồng thời chính sách dựa trên tài nguyên ở phía nhà cung cấp và chính sách dựa trên định danh ở phía Example Corp trước khi cấp quyền.
- AnyCompany (444455556666) cũng truy cập chéo tài khoản nhưng với một ràng buộc bổ sung: tất cả các yêu cầu phải bắt nguồn từ bên trong VPC riêng của họ (vpc-health1234) thông qua một VPC endpoint. Chính sách dựa trên tài nguyên sẽ có một lệnh
Deny(Từ chối) rõ ràng để chặn bất kỳ yêu cầu nào từ vai trò của AnyCompany nếu nó không đến từ VPC đã được phê duyệt.
Trong cả hai trường hợp, các chính sách dựa trên tài nguyên phải được áp dụng cho cả AgentCore Runtime và AgentCore Runtime endpoint để đảm bảo tính nhất quán.
Triển khai chi tiết cho từng kịch bản
Việc triển khai được thực hiện bằng cách cấu hình các chính sách ở cả hai phía: nhà cung cấp SaaS và khách hàng.
Kịch bản 1: Cấp quyền truy cập chéo tài khoản cho Example Corp
Để cho phép các vai trò DeveloperRole và AdminRole của Example Corp gọi agent AI, nhà cung cấp SaaS sẽ áp dụng một chính sách trên tài nguyên AgentCore của mình. Chính sách này chỉ định rõ rằng hai vai trò IAM từ tài khoản 111122223333 được phép thực hiện hành động InvokeAgentRuntime. Về phía mình, Example Corp cũng cần đính kèm một chính sách định danh cho các vai trò đó, cho phép chúng gọi đến tài nguyên của nhà cung cấp. Lợi ích của phương pháp này là Example Corp có thể sử dụng trực tiếp thông tin định danh của mình mà không cần thông qua các bước xác thực trung gian phức tạp, trong khi nhà cung cấp vẫn duy trì quyền kiểm soát tập trung.
Kịch bản 2: Giới hạn truy cập trong VPC cho AnyCompany
Đối với AnyCompany, nhà cung cấp sẽ cập nhật chính sách trên tài nguyên của mình để bao gồm một quy tắc phức tạp hơn. Chính sách này bao gồm một câu lệnh Allow (Cho phép) cho vai trò ứng dụng của AnyCompany, đi kèm với một câu lệnh Deny (Từ chối) rõ ràng. Lệnh Deny này sẽ chặn mọi yêu cầu không xuất phát từ VPC vpc-health1234. Điều này được thực hiện bằng cách kiểm tra điều kiện aws:SourceVpc. Vì một lệnh Deny tường minh luôn ghi đè mọi lệnh Allow, mô hình này đảm bảo rằng không một chính sách nào khác có thể vô tình cấp quyền truy cập cho AnyCompany từ bên ngoài VPC, đáp ứng yêu cầu tuân thủ nghiêm ngặt.
Kết luận và giá trị cho doanh nghiệp
Bằng cách sử dụng các chính sách dựa trên tài nguyên trên Amazon Bedrock AgentCore, các nhà cung cấp SaaS có thể xây dựng nền tảng AI đa khách hàng an toàn và linh hoạt, mang lại nhiều lợi ích kinh doanh:
- Bảo mật và Tuân thủ: Đáp ứng các yêu cầu bảo mật và quy định khác nhau (như HIPAA) cho từng khách hàng mà không cần nhân bản cơ sở hạ tầng, giảm thiểu rủi ro.
- Hiệu quả vận hành: Đơn giản hóa việc quản lý quyền truy cập, loại bỏ các cấu hình phức tạp như IAM role chaining, và tập trung hóa việc kiểm soát bảo mật.
- Linh hoạt và Mở rộng: Dễ dàng tích hợp các khách hàng mới với các yêu cầu bảo mật đa dạng trên cùng một nền tảng, giúp tăng tốc độ ra thị trường và mở rộng kinh doanh.
Cách tiếp cận này cung cấp một lớp kiểm soát mạnh mẽ, cho phép doanh nghiệp tự tin triển khai các giải pháp AI cho nhiều đối tượng khách hàng với các tiêu chuẩn an toàn cao nhất.


