什么是 AWS AgentCore 支付。
AWS AgentCore Payments是亚马逊为在Bedrock上运行的AI代理提供的托管支付控制平面。它在AWS原生API表面后组合现有的支付轨道(Coinbase、Stripe、Circle),添加IAM风格的支出政策,将审计事件发布到CloudTrail,并将使用情况纳入客户现有的AWS账单。其宣传口号是“无需新的供应商关系即可实现代理支付”,适用于已经在AWS上的企业。
企业采购归结为一个供应商。
在大型企业内部交付代理支付的最难部分很少是工程;而是为新支付供应商进行采购、安全审查和财务集成。AgentCore Payments通过位于客户已有的AWS合同之下来消除这一步。安全审查依赖于现有的AWS姿态。财务集成是现有账单。供应商入职是现有供应商。
对于一个在今天与新供应商关系之间有数百个 AWS 批准流程的企业,这决定了在一个季度内交付与在一年内交付之间的差异。权衡是平台锁定:依赖 AgentCore Payments 的代理在后期很难迁移到非 AWS 运行时。对于长期在 AWS 上运营的企业,这种权衡是可以接受的。
AWS shell,合作伙伴轨道核心。
- 提供。客户通过AgentCore API为每个代理创建一个支付主体。该主体与代理的IAM角色绑定。
- 政策。 管理员附加支出政策:每次调用上限、每日上限、允许的对手方、时间窗口。政策语法与 IAM 政策相似。
- 调用。 Bedrock 代理调用付费端点。运行时通过 AgentCore Payments 路由付款意图,评估政策。
- 在合作伙伴通道上结算。如果政策允许,AgentCore将结算转发到其配置的合作伙伴通道(Coinbase、Stripe、Circle)。合作伙伴处理实际的资金流动。
- 账单 + 审计。 AgentCore记录对客户AWS账户的结算(合并到AWS账单中),并发出CloudTrail事件以供审计。客户从未看到来自合作方支付通道的单独发票或审计日志。
客户体验是一个单一的AWS形状的表面;底层资金流动是由合作伙伴路由的。这与AWS用于其他包裹第三方基础设施的托管服务的架构模式相同。
三个企业模式。
企业Bedrock代理支付高级数据
一家金融服务企业在 Bedrock 上构建了一个内部代理,从付费第三方 API 获取市场数据。AgentCore Payments 处理钱包、支出政策和发票记录,保持与公司现有的 AWS 计费关系一致。采购在现有的 AWS 账单上看到支出;不需要单独的供应商入驻。
Bedrock 代理支付付费 MCP 服务器
一个托管在 Bedrock 的代理调用一个返回 402 的第三方 MCP 工具。AgentCore Payments 通过其配置的支付通道(通常通过 Coinbase 或 Stripe 合作)来结算付款,MCP 服务器完成调用。代理代码从不直接接触钱包;它只是调用工具,AgentCore 在后台处理授权和结算。
通过 AWS IAM 风格的策略强制执行每个代理的预算
企业管理员为每个代理设置 $500/月的支出上限,并使用 AgentCore 的政策控制设置批准的支付交易对方列表(与 AWS 管理员熟悉的 IAM 模式相似)。超出预算或尝试向未批准的交易对方付款的代理将在 API 层被拒绝。审计记录与所有其他 AWS 活动一起记录在 CloudTrail 中。