Haben Sie es schon bemerkt? Ihr Unternehmen entwickelt KI-Agenten in mehreren Teams. Ein Team entwickelt einen Kundensupport-Agenten, ein anderes einen internen Wissensassistenten und ein drittes entwickelt eine Reihe von MCP-Tools für die Codeüberprüfung. Aber keines dieser Teams weiß, was die anderen entwickelt haben. Agenten und Tools sind über Repositories, Konten und Geschäftseinheiten verstreut, ohne dass es einen zentralen Ort gibt, an dem sie entdeckt, gesteuert oder verwaltet werden können.
Das ist die Realität für viele Unternehmen, die agentenbasierte KI einsetzen. Das Tempo der Agentenentwicklung beschleunigt sich, aber die Infrastruktur zur Verwaltung dieses Wachstums hinkt hinterher. Ohne ein zentrales Register kommt es zu Doppelarbeit, ungeprüften externen Abhängigkeiten und keiner einheitlichen Methode zur Durchsetzung von Sicherheits- oder Qualitätsstandards.
Das Problem der isolierten Agentenentwicklung
Wenn Agenten und Tools isoliert entwickelt werden, treten schnell mehrere Probleme auf. Erstens gibt es keine Auffindbarkeit. Ein Entwickler in einem Team hat keine Möglichkeit zu erfahren, dass ein anderes Team bereits einen Agenten entwickelt hat, der ein ähnliches Problem löst. Dies führt zu redundanter Arbeit und inkonsistenten Implementierungen innerhalb des Unternehmens.
Zweitens wird die Kontrolle fast unmöglich. Wenn externe MCP-Tools oder Agenten von Drittanbietern in Projekte eingebunden werden, ohne dass ein Überprüfungsprozess stattfindet, entstehen Sicherheitsrisiken. Es gibt keinen Prüfpfad, keinen Genehmigungsworkflow und keine Möglichkeit, Unternehmensrichtlinien durchzusetzen, bevor diese Ressourcen die Produktion erreichen.
Drittens stockt die Zusammenarbeit. Ohne einen gemeinsamen Katalog können die Teams nicht auf der Arbeit der anderen aufbauen. Jedes neue Projekt fängt bei Null an, anstatt vorhandene, getestete Funktionen zusammenzustellen. Das Ergebnis ist eine langsamere Bereitstellung und höhere Kosten.
In diesem Blog-Beitrag erfahren Sie, wie Amazon Bedrock AgentCore Registry diese Herausforderungen meistert, indem es einen zentralisierten Katalog und eine Governance-Ebene für KI-Agenten, Tools, Fähigkeiten und benutzerdefinierte Ressourcen in Ihrem Unternehmen bereitstellt.
Was ist Amazon Bedrock AgentCore Registry?
Amazon Bedrock AgentCore Registry ist ein vollständig verwalteter, serverloser Service, der als zentrale Anlaufstelle für alle Ihre KI-Ressourcen dient. Er bietet einen zentralen Katalog, in dem Sie Agenten, MCP-Tools, Fähigkeiten und benutzerdefinierte Ressourcen registrieren, entdecken und verwalten können.
Der Dienst unterstützt vier Ressourcentypen:
- A2A-Agenten - angepasst an das Agent Card JSON-Schema für die Kommunikation von Agent zu Agent
- MCP Tools - abgestimmt auf die offene Spezifikation der MCP Registry
- Fertigkeiten - basierend auf dem skills.md YAML-Format
- Benutzerdefinierte Ressourcen - jedes gültige JSON, das Ihnen Flexibilität für Ressourcen bietet, die nicht in die anderen Kategorien passen
Sie können mit der Registry über die AWS Console, das AgentCore SDK, Boto3, RESTful APIs oder sogar als MCP-Tool direkt von Ihrer IDE aus interagieren.
Unsere Lösung im Überblick
Die Architektur von Amazon Bedrock AgentCore Registry ist auf drei Personas aufgebaut: Admin, Publisher und Consumer. Jede Person hat eine bestimmte Rolle im Lebenszyklus der Registry-Ressourcen.
Der Verwaltungsablauf
Der Administrator ist für die Einrichtung und Verwaltung der Registrierungsinfrastruktur zuständig. Dies umfasst zwei Hauptaufgaben. Erstens erstellt und konfiguriert der Administrator die Registry selbst mithilfe von CRUD-Vorgängen. Zweitens richtet der Administrator die Authentifizierung und Autorisierung für Entwickler, Verbraucher und Genehmiger ein. Die Registry unterstützt sowohl AWS Identity and Access Management (IAM) als auch die OAuth-basierte Autorisierung, so dass Sie den Zugriff flexibel steuern können.
Der Administrator erstellt und verwaltet auch Genehmigungs-Workflows. Wenn ein Herausgeber eine neue Ressource einreicht, sendet die Registry Ereignisse über Amazon EventBridge aus. Der Administrator kann diese Ereignisse in seine eigenen CI/CD-Pipelines integrieren, um Sicherheitsscans, Deduplizierungsprüfungen und Validierungen durchzuführen, bevor eine Ressource genehmigt oder abgelehnt wird.
Der Verlag Flow
Publisher sind Agentenentwickler, Toolentwickler oder Teams, die Ressourcen erstellen und pflegen, die sie mit anderen teilen möchten. Der Publishing-Workflow beginnt in der IDE, wo ein Entwickler einen Agenten oder ein MCP-Tool erstellt. Der Entwickler kann zunächst die Registry durchsuchen, um herauszufinden, was bereits vorhanden ist, um doppelte Arbeit zu vermeiden.
Sobald die Ressource fertig ist, integriert der Entwickler die Registry in seine CI/CD-Pipeline. Bei Agenten wird das Schema der Agentenkarte automatisch mit der Registry synchronisiert. Bei MCP-Tools werden auch die Endpunkt-URL und das Schema automatisch synchronisiert. Der Herausgeber erstellt dann einen Registrierungseintrag und reicht ihn zur Genehmigung ein.
Nach der Übermittlung gibt Amazon EventBridge ein Ereignis aus, das die vom Administrator gesteuerte CI-Pipeline auslöst. Diese Pipeline kann Sicherheitsscans, Deduplizierungsprüfungen und Validierungen durchführen. Anhand der Ergebnisse aktualisiert der Administrator oder ein automatischer Genehmiger den Status des Registrierungseintrags auf Genehmigt, Abgelehnt oder Veraltet.
Der Verbraucherstrom
Verbraucher sind Agentenentwickler oder autonome Agenten, die vorhandene Ressourcen entdecken und in ihre Arbeitsabläufe integrieren müssen. Der Verbraucherfluss beginnt mit einer Suche. Die Registry unterstützt sowohl die semantische als auch die lexikalische Suche, so dass Sie Ressourcen nach ihrer Bedeutung oder nach Schlüsselwörtern finden können. Die Tag-basierte Suche ermöglicht eine feinkörnige Filterung mit Hilfe von ABAC-Richtlinien (Attribute-based Access Control).
Die Registry verfügt auch über eine automatische Metadaten-Synchronisierung, die Live-Ressourcen abfragt, um den Katalog auf dem neuesten Stand zu halten. Wenn ein Kunde eine Ressource findet, die er benötigt, fordert er den Zugriff über die API für das Ressourcen-Onboarding an. Die Registry gibt die entsprechenden Anmeldedaten zurück - OAuth-Client-ID und -Geheimnis, mTLS-Zertifikate oder IAM-Anmeldedaten - je nach Autorisierungsmodell. Der Kunde kann dann den Agenten oder das Tool mit der richtigen Authentifizierung direkt aufrufen.
Der Genehmigungs-Workflow
Der Genehmigungs-Workflow bietet einen strukturierten Governance-Prozess. Registrierungsdatensätze durchlaufen definierte Zustände: Entwurf, Zur Genehmigung anstehend, Genehmigt, Abgelehnt und Veraltet. Ein Herausgeber erstellt einen Datensatz im Status Entwurf. Wenn er ihn zur Genehmigung vorlegt, wechselt er in den Status Anhängig. Wenn die automatische Genehmigung in der Registrierung aktiviert ist, geht der Datensatz direkt in den Status Genehmigt über.
Andernfalls prüft der Administrator die Einreichung und aktualisiert den Status. Genehmigte Ressourcen können später veraltet sein, wenn sie nicht mehr gepflegt werden. Abgelehnte Ressourcen können aktualisiert und erneut eingereicht werden. Mit dieser Zustandsmaschine haben Sie die volle Kontrolle darüber, was in den Katalog Ihrer Organisation aufgenommen wird.
Multi-Account Unterstützung
Für Unternehmen, die mit mehreren AWS-Konten arbeiten, unterstützt die Registry die gemeinsame Nutzung durch AWS Resource Access Manager (RAM). Das bedeutet, dass ein zentrales Plattformteam die Registry in einem Konto verwalten und sie für Entwicklungsteams im gesamten Unternehmen freigeben kann. Dies ist besonders wertvoll für Unternehmen mit einer strikten Kontentrennung zwischen Entwicklungs-, Staging- und Produktionsumgebungen.
Sicherheit und Governance
Die Sicherheit ist in jeder Schicht der Registry integriert. Die Zugriffskontrolle erfolgt über IAM-basierte Richtlinien oder OAuth mit benutzerdefinierten JWT-Autorisierern. Die Registry unterstützt AWS PrivateLink und VPC-Endpunkte, so dass Sie auf Ressourcen zugreifen können, die in Kunden-VPCs gehostet werden, ohne das öffentliche Internet zu durchqueren.
Der Genehmigungsworkflow lässt sich mit externen Sicherheitsscannern integrieren. Sie können Open-Source-MCP-Scanner oder Sicherheitslösungen von Drittanbietern in Ihre admingesteuerte CI-Pipeline einbinden. Jeder Zustandsübergang gibt ein EventBridge-Ereignis aus, so dass Sie einen vollständigen Prüfpfad darüber erhalten, wer was wann und von wem genehmigt hat.
Registry vs. Gateway
Eine häufige Frage ist, wie sich die Registry zu Amazon Bedrock AgentCore Gateway verhält. Die Unterscheidung ist ganz einfach:
- AgentCore Gateway ist die Datenebene. Es verwaltet die Laufzeitausführung und fungiert als Proxy, wenn Sie einen Agenten oder ein Tool aufrufen. Betrachten Sie es als die Verkehrsebene.
- AgentCore Registry ist die Steuerungsebene. Sie kümmert sich um die Belange der Build-Zeit: Katalogisierung, Erkennung und Verwaltung von Ressourcen.
Diese beiden Dienste ergänzen sich, sie konkurrieren nicht. Sie verwenden die Registry, um Ressourcen zu finden und zu prüfen, und das Gateway, um sie zur Laufzeit auszuführen.
Effizienzgewinne
Der zentrale Charakter der Registry führt zu messbaren Effizienzsteigerungen. Die Teams verbringen keine Zeit mehr damit, Funktionen neu zu erstellen, die bereits an anderer Stelle im Unternehmen vorhanden sind. Die Deduplizierungsfunktion verhindert redundante Registrierungen, und die semantische Suche macht es einfach, vorhandene Ressourcen zu finden, die Ihren Anforderungen entsprechen.
Der Genehmigungs-Workflow reduziert den Aufwand für die Sicherheitsüberprüfung, indem er die Prüfungen durch die CI/CD-Integration automatisiert. Statt manueller Überprüfungen für jeden neuen Agenten oder jedes neue Tool definieren Sie Ihre Richtlinien einmal und lassen sie von der Pipeline konsequent durchsetzen. So verkürzen Sie die Zeit von der Entwicklung bis zur Produktion und halten gleichzeitig Ihre Sicherheitsstandards ein.
Für Unternehmen mit Dutzenden oder Hunderten von Agenten und Tools verwandelt die Registry die sonst chaotische Landschaft in einen geordneten, durchsuchbaren Katalog. Die Plattformteams erhalten einen Überblick darüber, was im gesamten Unternehmen entwickelt und verwendet wird, was eine bessere Ressourcenzuweisung und strategische Planung ermöglicht.
Fazit
Mit der zunehmenden Einführung von agentenbasierter KI in Unternehmen wird die Notwendigkeit einer zentralisierten Erkennung und Verwaltung unumgänglich. Amazon Bedrock AgentCore Registry bietet die Infrastruktur, um diese Komplexität zu verwalten. Sie gibt Administratoren die Kontrolle darüber, was in den Katalog aufgenommen wird, Herausgebern einen rationalisierten Weg, um ihre Arbeit zu teilen, und Kunden eine schnelle Möglichkeit, vorhandene Funktionen zu finden und zu integrieren.
Wenn Sie agentische Anwendungen auf AWS erstellen, sollten Sie überlegen, wie eine Registry in Ihre Plattformstrategie passt. Mehr über Amazon Bedrock AgentCore Registry erfahren Sie in der AWS-Dokumentation. Einen tieferen Einblick in die MCP Registry-Spezifikation erhalten Sie in der MCP Registry-Dokumentation. Und wenn Sie bereits Amazon Bedrock für Ihre agentischen Lösungen verwenden, lässt sich die Registry direkt in Ihre bestehenden Arbeitsabläufe integrieren.
Foto von Strange Happenings
Verfasst von
Joris Conijn
Joris is the AWS Practise CTO of the Xebia Cloud service line and has been working with the AWS cloud since 2009 and focussing on building event-driven architectures. While working with the cloud from (almost) the start, he has seen most of the services being launched. Joris strongly believes in automation and infrastructure as code and is open to learning new things and experimenting with them because that is the way to learn and grow.
Unsere Ideen
Weitere Blogs
Contact