AIエージェントのツール権限を二層で制御｜AWS新手法

実装・ノウハウ米国メガテック Bedrock AgentCore 06/02 03:05

AI TREND

AWS：ツール制御の二層手法公開

AWSが、AIエージェントのツール利用を制御する2つの仕組み——宣言型言語Cedarで権限を確定的に判定する「ポリシー」と、ツール呼び出し前後で独自コードを動かす「Lambdaインターセプター」——をBedrock AgentCoreゲートウェイ上で併用する実装手法を解説する記事を公開した。

3 の要点を3分で

AWSが、AIエージェントのツール利用を安全に制御する2つの仕組みを組み合わせた手法を公開した。確定的にアクセス可否を判定するポリシーと、ツール呼び出しの前後で独自コードを動かすLambdaインターセプターを、Amazon Bedrock AgentCoreのゲートウェイ上で併用する構成だ。

ポリシーは宣言型言語Cedarで記述し、主体・操作・対象の組み合わせで許可/拒否を確定的に判定して監査ログへ自動記録する。インターセプターは実行時の動的検証・情報付加・トークン交換・応答フィルタリングを担う。ゲートウェイはCedar評価より先にリクエスト用インターセプターを実行するため、文脈を補強してから権限判定できる。ポリシーは既定で拒否(deny-by-default)で動き、明示的な許可ルールがない要求は拒否される。

記事は保険の請求データ照会で被保険者・査定担当・管理者の3役割ごとにツール利用範囲を制御する例を示す。運用開始時は判定をCloudWatchに記録しつつ遮断はしないログのみモード(LOG_ONLY)から入ることが推奨される。AWSは2025年12月にポリシー機能をプレビュー追加し、2026年3月に一般提供へ移行している。

AIエージェントのツール権限を二層で制御｜AWS新手法の本文内説明図 — 図解: AIエージェント - AWSがのツール利用を制御する2つの仕組み——宣言型言語Cedar

押さえるポイント

この変化で何が要点か。図解と出典つきで一目で。

ポリシーは既定で拒否。許可ルールがない要求は通さない設計
インターセプターはポリシー評価より先に動き、文脈を補強できる
保険請求の3役割で、ツール利用範囲を役割別に制御する事例

5W1Hでサクッと理解

構造化された事実を最初に。誰が何をいつどこでなぜどのように。

誰が: AWS
何を: ツール制御の二層手法公開
いつ: 2026年6月2日
どこで: Bedrock AgentCore
なぜ: エージェント権限統制
どのように: Cedarとインターセプター

背景

企業がAIエージェントを業務自動化に使い始めると、組織横断で数百のエージェントが数千のツール（外部連携部品）に安全にアクセスする必要が生じる。従来のアプリは固定の処理を実行するが、大規模言語モデル（LLM）で動くエージェントは実行時にどのツールを・どんな引数で・どの順番で呼ぶかを自ら決める。このため事前に呼び出し経路を監査するのが難しく、意図どおりに振る舞わせる仕組みが課題になっていた。AWSは2025年12月にBedrock AgentCoreへポリシー機能（プレビュー）などを追加しており、本記事はその実装パターンの解説である。

なぜ今注目なのか

エージェント型AIの本番導入では「LLMが何を呼べるか」をガバナンスする層が必須になりつつある。ポリシーは宣言型言語Cedarで権限を記述し、許可・拒否を確実に記録できる一方、インターセプターは実行時の動的な検証や認証情報の差し替えに使える。両者の役割分担と評価順序を理解することは、機密データを扱うエージェント設計の意思決定に直結する。

「LLMが何を呼べるか」を二層で確定させる

AWSが、AIエージェントのツール利用を守る2つの仕組みを組み合わせた実装手法を公開した。データレイク(蓄積したデータを横断分析する基盤)を扱うエージェントを例に、確定的にアクセス可否を判定する「ポリシー」と、ツール呼び出しの前後で独自コードを動かす「インターセプター」をBedrock AgentCoreゲートウェイ上で併用する。

In this post, we use a lakehouse data agent to demonstrate how you can use Policy for deterministic access control and Lambda interceptors for dynamic validation.
出典: AWS Machine Learning Blog

ここでいう「ポリシー」は宣言型言語Cedar(何を許すかをルールとして書く専用言語)で記述し、主体・操作・対象の組み合わせで許可/拒否を確定的に決め、その判定を監査ログへ自動で残す。固定の処理を実行する従来アプリと違い、LLMで動くエージェントは実行時にどのツールをどんな引数でどの順番で呼ぶかを自ら決めるため、呼び出し経路を事前に監査しにくい。確定判定の層を挟むことが、この検証しにくさへの答えになる。

確定判定はCedar、動的検証はLambdaという分担

二層の役割分担が、この手法の核心である。Cedarで書くポリシーは「この役割はこのツールを使ってよい」といった静的なルールを確定的に評価する。一方、インターセプター(AWS Lambdaで動く関数)はツール呼び出しの前後で動作し、実行時の動的な検証・情報の付加・認証トークンの差し替え・応答の絞り込みを担う。

重要なのは評価順序だ。ゲートウェイはCedarのポリシー評価より先にリクエスト用インターセプターを実行する。つまり、判定に必要な文脈(例: 利用者の所在地や追加属性)をインターセプターで補ってから、Cedarが許可/拒否を確定できる。記事では、動的な検証と確定的な判定の両方が要る「地域ベースのアクセス制御」を、両者を組み合わせて実装する例を示している。

もう一つの設計原則が、既定で拒否(deny-by-default)である。明示的な許可ルールが書かれていない要求はすべて拒否される。許可を1つずつ積み上げる発想のため、想定外の経路が静かに通ってしまう事故を防ぎやすい。