- Published on
Amazon Bedrock AgentCore 实践指南:如何在 2026 年构建安全的生产级智能体
- Authors

- Name
- Youngju Kim
- @fjvbn20031
为什么 AgentCore 的价值不止于演示
截至 2026 年 4 月 12 日,Amazon Bedrock AgentCore 已经不只是一个只在黑客松上用一次的预览功能。AWS 在 2025 年 10 月 13 日 宣布了正式可用(GA),并将 AgentCore 定位为一个平台:使用任意框架、任意模型、任意协议,安全地大规模构建、部署和运行有能力的智能体。这个定位很重要,因为生产环境中的智能体,往往会因为简单演示里看不出来的原因而失败:会话泄漏、脆弱的工具访问权限、缺少记忆、审计能力不足,以及薄弱的网络边界。
如果你正在构建安全的生产级智能体,AgentCore 之所以有意思,是因为它减少了你自己需要拼凑的基础设施工作量。GA 版本同时新增了 VPC 支持、AWS PrivateLink、CloudFormation 以及资源标签(resource tagging),这让把智能体纳入真实的企业管控体系变得更容易,而不必为 AI 技术栈另外发明一套安全路径。
真正值得问的问题,不是 AgentCore 能不能跑通一个 prompt 循环,而是它能不能支撑生产级智能体的完整生命周期:
- 保持会话隔离
- 控制工具访问
- 保留有用的记忆
- 观测失败与延迟
- 用你在其他地方一贯遵循的基础设施规范来上线
到这一步,AgentCore 才开始看起来像一个平台,而不是一个演示用的脚手架。
面向生产的安全模型
关心 AgentCore 的最大理由,是它把智能体安全当作一等的设计问题来对待。
在 GA 阶段,AWS 强调了 Runtime 中完整的会话隔离和长达八小时的执行窗口。这个组合之所以有用,是因为很多智能体工作流并不是一次性的单轮 prompt,而是长时间运行、有状态、有时还是异步的。生产系统需要把每个会话隔离开,这样即便任务持续数小时,一个用户的上下文也不会渗入另一个用户的任务中。
GA 公告还为 AgentCore 各项服务新增了 VPC、PrivateLink、CloudFormation 和资源标签。在实践中,这为团队提供了更好的路径去:
- 将流量保持在私有网络边界之内
- 用自动化其他 AWS 基础设施同样的方式来自动化部署
- 为成本、治理和归属追踪资源
- 让智能体工作负载对齐现有的安全审查流程
如果你的智能体运行在受监管或对安全高度敏感的环境中,这些细节和模型质量同样重要。
Runtime:安全执行真正发生的地方
如果你关心执行安全性和运维可靠性,AgentCore Runtime 是应该首先考察的部分。
AWS 将 Runtime 描述为一个安全的、无服务器的智能体与工具托管环境。它支持任意框架、任意模型,也同时支持 MCP 和 A2A 两种通信方式。生产环境中真正重要的细节不只是兼容性,而是隔离性。每个会话都运行在专属资源上,AWS 表示会话之间是完全分离的,因此有状态的推理过程不会污染其他用户。
这让 Runtime 更适合以下这类工作负载:
- 需要在多轮对话中保持上下文的客服智能体
- 可能运行数小时的研究或规划类智能体
- 调用工具、等待、重试并继续执行的工作流智能体
- 需要结构化交接的多智能体系统
GA 阶段另一项重要变化是对 A2A 的支持。如果你的路线图中包含智能体间协作,就不必把它当成平台边界之外的一个独立项目来处理。
对于已经在交付容器化工作负载的团队来说,相比自己在模型 API 之上搭建编排、隔离和伸缩层,Runtime 也是一条更干净的路径。
Memory:让上下文有用而不脆弱
Memory 是许多智能体原型真正变成产品的关键环节,因为生产环境中的用户期待连续性。
AgentCore Memory 是一项全托管服务,同时覆盖短期记忆和长期记忆。短期记忆在一个会话内保留逐轮的上下文,长期记忆则跨会话保存持久的事实、偏好和摘要。这种区分很有价值,因为它让你能把即时的对话状态和持久的用户知识分开管理。
在实践中,这意味着你可以为以下场景做设计:
- 支持会话内的即时连续性
- 跨多次访问保留的持久偏好
- 能在较长任务中存活下来的工作流状态
- 更少的 prompt 堆砌和更少的自建状态管理代码
生产环境中需要注意的一点很简单:并非每一条事实都适合放进长期记忆。团队应该自行判断哪些信息是安全的、持久的、真正有用的,值得保留。一个安全的智能体应该记住足够多的信息以便提供帮助,但不应该让记忆变成一个不受控的数据仓库。
Gateway:连接工具,而不必把安全变成胶水代码
AgentCore Gateway 是让外部系统可用、而不必手写每一个集成的那部分。
AWS 表示 Gateway 可以把 API、Lambda 函数和现有服务转换为兼容 MCP 的工具,也可以连接到已有的 MCP 服务器——如果你的组织已经拥有一套工具生态,而不是从零开始,这一点尤其有用。
对生产团队来说,这很重要,因为每一个工具同时也是一道安全边界。Gateway 有助于集中管理:
- 认证
- 凭证交换
- 工具发现
- 访问控制
- 协议转换
这让它非常适合那些希望把内部系统开放给智能体使用、又不想让智能体层沦为一堆一次性脚本拼凑物的团队。
2026 年 2 月 24 日上线了一项特别值得关注的更新:AWS 宣布 Bedrock Responses API 支持通过 AgentCore Gateway 执行服务端(server-side)工具调用。用直白的话说,这意味着模型可以在服务端发现并执行 Gateway 工具,而不必强迫你自己搭建客户端的工具调用循环。对安全的生产级智能体而言,这降低了编排复杂度,也让更多的控制路径留在 AWS 托管的边界之内。
可观测性:无法追踪,就无法信任
AgentCore Observability 是一个有前景的试点项目和一个真正可以运维的系统之间的分界线。
AWS 表示 AgentCore 与 CloudWatch 集成,并以兼容 OTEL 的格式发出遥测数据。文档中还特别提到了追踪(trace)、调试工具、仪表盘、会话数、延迟、时长、token 用量和错误率。这为平台团队提供了一个真正的生产反馈闭环,而不必只依赖应用日志。
对智能体系统来说,这些不是可选项。你需要知道:
- 选中了哪个工具
- 工作流在哪里变慢了
- 一次失败是来自 prompt、工具,还是策略层
- 一个会话循环或重试了多少次
- 安全控制是否正确拦截了该拦截的动作
如果你的可观测性技术栈已经支持 OTEL,AgentCore 融入你现有运维体系的方式,会比一个封闭的、智能体专属的遥测孤岛自然得多。
面向安全生产智能体的上线检查清单
在把 AgentCore 投入生产之前,请检查以下事项:
- 我们是否已经明确哪些智能体任务需要 Runtime、Memory 和 Gateway,哪些不需要
- 我们是否已经确认会话隔离和私有网络能满足我们的安全要求
- 我们是否已经决定哪些数据属于短期记忆、哪些属于长期记忆
- 我们是否已经记录清楚:哪些工具被允许使用、哪些身份可以使用它们、需要哪些审批
- 我们是否已经把可观测性接入 CloudWatch 以及现有的
OTEL管道 - 我们是否已经为归属、成本和审计目的给资源打上标签
- 我们是否验证过失败路径,而不只是理想路径
- 我们是否测试过智能体在长时间运行的工作负载和重试场景下的表现
- 我们是否已经确认 Gateway 应该开放 API、Lambda 函数,还是现有的
MCP服务器
如果这些问题的答案都很清楚,你面对的很可能是一个真正的生产候选方案。如果答案还不清楚,通常更好的下一步是先收窄用例范围,再考虑扩大部署。
官方链接
- Amazon Bedrock AgentCore
- Amazon Bedrock AgentCore is now generally available
- Host agent or tools with Amazon Bedrock AgentCore Runtime
- Amazon Bedrock AgentCore Gateway
- Add memory to your Amazon Bedrock AgentCore agent
- Observe your agent applications on Amazon Bedrock AgentCore Observability
- Amazon Bedrock now supports server-side tool execution with AgentCore Gateway