Amazon Bedrock AgentCore Identityは、AWS Secrets Managerの事前設定済みシークレットを直接参照できるようになった。これにより開発者は、認証情報のガバナンスを完全に制御できる。本アップデートにより、APIキーやOAuthクライアントシークレットの暗号化、ローテーションポリシー、リソースタグを、AgentCoreプラットフォーム内で再作成やハードコードすることなく管理可能となった。

作成時に特定のシークレットARNとJSONキーを指定することで、AgentCore Identityは実行時に資格情報を取得する。この統合により、AWS Secrets Managerの外部コネクタで取り込んだシークレットの利用や、同一リージョン内の別アカウント間での参照も可能だ。組織は、顧客管理型のAWS KMSキーを用いた暗号化や、コスト配分と監査を目的としたリソースタグ付与といった既存のコンプライアンス基準を適用できる。

本機能を利用するには、サービスプリンシパルに対し、シークレットのリソースポリシーを通じて「secretsmanager:GetSecretValue」権限を付与する必要がある。顧客管理型のAWS KMSキーを使用する場合は、「kms:Decrypt」権限も併せて付与しなければならない。設定作業はAWSマネジメントコンソール、AWSコマンドラインインターフェイス（AWS CLI）、あるいはAIコーディングエージェントへのプロンプト経由で行える。

例えばAWS CLIでは、OAuth2認証情報プロバイダーの設定において「clientSecretSource」を「EXTERNAL」に指定し、必要なARNとJSONキーパラメーターを渡すことが可能だ。この機能により、シークレットへのアクセスはIAMプリンシパルの条件に従って厳密にスコープされ、エージェントシステムが外部APIと安全に連携できる環境が整った。

Amazon Bedrock AgentCore Identityは、AWS Secrets Managerの事前設定済みシークレットを直接参照できるようになった。これにより開発者は、認証情報のガバナンスを完全に制御できる。本アップデートにより、APIキーやOAuthクライアントシークレットの暗号化、ローテーションポリシー、リソースタグを、AgentCoreプラットフォーム内で再作成やハードコードすることなく管理可能となった。

作成時に特定のシークレットARNとJSONキーを指定することで、AgentCore Identityは実行時に資格情報を取得する。この統合により、AWS Secrets Managerの外部コネクタで取り込んだシークレットの利用や、同一リージョン内の別アカウント間での参照も可能だ。組織は、顧客管理型のAWS KMSキーを用いた暗号化や、コスト配分と監査を目的としたリソースタグ付与といった既存のコンプライアンス基準を適用できる。

本機能を利用するには、サービスプリンシパルに対し、シークレットのリソースポリシーを通じて「secretsmanager:GetSecretValue」権限を付与する必要がある。顧客管理型のAWS KMSキーを使用する場合は、「kms:Decrypt」権限も併せて付与しなければならない。設定作業はAWSマネジメントコンソール、AWSコマンドラインインターフェイス（AWS CLI）、あるいはAIコーディングエージェントへのプロンプト経由で行える。

例えばAWS CLIでは、OAuth2認証情報プロバイダーの設定において「clientSecretSource」を「EXTERNAL」に指定し、必要なARNとJSONキーパラメーターを渡すことが可能だ。この機能により、シークレットへのアクセスはIAMプリンシパルの条件に従って厳密にスコープされ、エージェントシステムが外部APIと安全に連携できる環境が整った。