Amazon Web Services ha lanzado una nueva capacidad en Bedrock AgentCore Identity que permite referenciar secretos existentes de AWS Secrets Manager, eliminando la necesidad de que el servicio genere automáticamente nuevas credenciales. Esta funcionalidad responde a una demanda específica de empresas que operan en entornos altamente regulados y necesitan mantener control absoluto sobre sus políticas de seguridad.
Qué ha cambiado y por qué es relevante
Hasta ahora, cuando las empresas configuraban agentes de IA en Bedrock, el servicio creaba automáticamente nuevos secretos en AWS Secrets Manager para gestionar las credenciales necesarias. Esto funcionaba para casos de uso básicos, pero creaba fricciones significativas para organizaciones con políticas de seguridad estrictas que requieren control granular sobre el ciclo de vida de sus credenciales.
La nueva funcionalidad permite a las empresas referenciar secretos que ya tienen configurados en AWS Secrets Manager, manteniendo sus propias políticas de cifrado, rotación automática, etiquetado y permisos. Esto es especialmente crítico en sectores como banca, salud o defensa, donde las regulaciones exigen el uso de claves de cifrado gestionadas por el cliente (CMK) y auditorías detalladas de acceso a credenciales.
Implicaciones técnicas para la gestión de identidades
La implementación soporta tanto claves API tradicionales como secretos OAuth, cubriendo los principales métodos de autenticación que utilizan los agentes de IA para conectarse con servicios externos. Además, permite referenciar secretos almacenados en otras cuentas AWS dentro de la misma región, facilitando arquitecturas multi-cuenta que son comunes en grandes organizaciones.
Esta capacidad se integra directamente con las políticas de IAM existentes, permitiendo que los administradores mantengan sus marcos de permisos actuales sin necesidad de reestructurar la gestión de accesos. Los secretos referenciados mantienen todas sus configuraciones originales, incluyendo rotación automática programada y políticas de acceso basadas en recursos.
Cómo pueden aplicar esto las empresas hoy
Las empresas que ya utilizan AWS Secrets Manager pueden migrar inmediatamente sus agentes de Bedrock para usar esta funcionalidad. El proceso requiere actualizar las configuraciones de AgentCore Identity para apuntar a secretos existentes en lugar de permitir la creación automática. Esto es especialmente valioso para organizaciones que han invertido en automatización de rotación de credenciales o que necesitan cumplir con marcos de compliance específicos como SOC 2, PCI DSS o HIPAA.
Análisis Blixel
Esta actualización refleja la maduración del ecosistema de agentes de IA empresariales. AWS está respondiendo a feedback directo de clientes enterprise que necesitan integrar IA generativa sin comprometer sus marcos de seguridad establecidos. La capacidad de referenciar secretos existentes elimina una barrera significativa para la adopción de Bedrock en entornos regulados, donde crear nuevos secretos automáticamente puede violar políticas internas o requerimientos de compliance. Es una mejora aparentemente menor pero que resuelve un problema real: muchas empresas han retrasado proyectos de IA porque los servicios cloud no se alineaban con sus prácticas de seguridad existentes. Esta funcionalidad demuestra que los proveedores cloud están priorizando la compatibilidad con infraestructuras de seguridad maduras por encima de la simplicidad de configuración.
¿Quieres aplicar esto en tu empresa? En Blixel.ai te ayudamos a integrar IA con sentido común. Hablemos.