При развертывании нескольких агентов ИИ количество прямых связей между ними растёт квадратично: для 20 агентов требуется до 190 point-to-point соединений. Каждое такое соединение требует отдельной настройки аутентификации, маршрутизации и логики обмена данными. AWS предложила архитектуру серверного A2A-шлюза, которая централизует эти задачи за единой точкой входа.

Протокол Agent-to-Agent (A2A) стандартизует коммуникацию между агентами — он определяет форматы запросов, методы (SendMessage, SendStreamingMessage) и способы обнаружения возможностей через agent card. Шлюз выступает прокси-слоем: он принимает запросы к любому агенту по пути /agents/{agentId}, проверяет права доступа и перенаправляет трафик к нужному бэкенду. Поддерживаются два связывания протокола: JSON-RPC (один эндпоинт на агента с методом в теле) и HTTP+JSON/REST для клиентов, предпочитающих RESTful-стиль.

СлойКомпонентыФункция
УправлениеAgent Registry (DynamoDB), Semantic Search (S3 Vectors, Titan Embeddings)Регистрация агентов, их карточек и поиск по описанию
КонтрольLambda Authorizer, Permissions Table (DynamoDB)Проверка JWT-scopes, генерация IAM-политик, доступ к конкретным путям
ВыполнениеAPI Gateway, Proxy Lambda, Secrets ManagerМаршрутизация запросов, OAuth-аутентификация бэкендов, SSE-стриминг

Архитектура шлюза состоит из трёх уровней. Уровень управления включает централизованный реестр агентов в DynamoDB и семантический поиск на основе эмбеддингов Amazon Titan Text Embeddings — клиенты могут искать агентов по описанию на естественном языке. Уровень контроля реализует тонкозернистый доступ с помощью JWT-токенов: Lambda Authorizer проверяет scopes (например, billing:read) и генерирует политики IAM, разрешающие доступ только к определённым путям. Уровень выполнения маршрутизирует запросы через Proxy Lambda, которая аутентифицируется в бэкенд-агентах через OAuth 2.0 client credentials flow, извлекая секреты из AWS Secrets Manager. Для потоковой передачи ответов (SSE) используется Lambda Web Adapter.

Архитектура включает три слоя: управление (реестр и семантический поиск), контроль (доступ на основе JWT-scopes) и выполнение (маршрутизация с SSE-стримингом).

Architecture diagram for the serverless A2A gateway showing the request flow from clients to backend agents
Architecture diagram for the serverless A2A gateway showing the request flow from clients to backend agents · Источник: AWS Machine Learning Blog

Компоненты шлюза развёртываются с помощью Terraform. Amazon API Gateway (REST API) выступает точкой входа — выбран именно REST, а не HTTP API, из-за поддержки стриминга ответов. DynamoDB хранит три таблицы: реестр агентов (маппинг ID → URL, auth config, agent card), таблицу разрешений (scopes → allowed agents) и счётчики лимитов запросов. Amazon Cognito управляет аутентификацией через OAuth 2.0 client credentials flow. Семантические эмбеддинги хранятся в Amazon S3 Vectors.

Для команд, уже использующих A2A-совместимых агентов, внедрение шлюза не требует изменения кода клиентов — достаточно перенаправить их на домен шлюза вместо индивидуальных URL бэкендов. Новые агенты регистрируются через Admin Lambda. Такой подход ускоряет вывод новых агентских workflow, снижает операционные накладные и консолидирует политики безопасности.