La stack de production des agents IA.

Orchestration d'agents avec Strands

Nous utilisons Strands Agents, le SDK open-source d'AWS, pour une orchestration model-driven — le LLM raisonne sur l'usage des outils plutôt qu'un workflow hardcodé. Architecture hook-based pour étendre le comportement sans complexité. Sélection de modèle Bedrock par use case : latence, coût, qualité de raisonnement, fenêtre de contexte.

AgentCore Runtime & isolation

Isolation par session en microVM dédiée via Amazon Bedrock AgentCore Runtime. Critique pour les agents qui manipulent des données sensibles ou effectuent des opérations privilégiées. Authentification enterprise via AgentCore Identity (Cognito, Entra ID, Okta, OAuth). Persistance cross-session uniquement quand justifiée par le use case.

MCP & AgentCore Gateway

Exposition d'outils standardisée via Model Context Protocol (MCP) qui découple les agents des implémentations spécifiques. Serveurs MCP custom pour les systèmes internes. AgentCore Gateway pour l'intégration native avec l'écosystème AWS. Réutilisation de connecteurs MCP existants (AWS, Terraform, docs officielles) quand pertinent.

Bedrock Guardrails & validation humaine

Filtrage des entrées et sorties sensibles via Amazon Bedrock Guardrails. Séparation stricte lecture / proposition / exécution avec validation humaine sur les étapes critiques. Garde-fous configurables par use case. Policy AgentCore pour le contrôle fin des permissions sur les tool calls.

IAM cross-account & observabilité

Principe du moindre privilège appliqué capability par capability, pas par service. STS AssumeRole avec ExternalId pour tout accès cross-account. Gestion centralisée des secrets via AWS Secrets Manager. Observabilité complète via Amazon CloudWatch et OpenTelemetry pour la traçabilité distribuée. Déploiement reproductible via Terraform.