При развертывании нескольких агентов ИИ количество прямых связей между ними растёт квадратично: для 20 агентов требуется до 190 point-to-point соединений. Каждое такое соединение требует отдельной настройки аутентификации, маршрутизации и логики обмена данными. AWS предложила архитектуру серверного A2A-шлюза, которая централизует эти задачи за единой точкой входа.
Протокол Agent-to-Agent (A2A) стандартизует коммуникацию между агентами — он определяет форматы запросов, методы (SendMessage, SendStreamingMessage) и способы обнаружения возможностей через agent card. Шлюз выступает прокси-слоем: он принимает запросы к любому агенту по пути /agents/{agentId}, проверяет права доступа и перенаправляет трафик к нужному бэкенду. Поддерживаются два связывания протокола: JSON-RPC (один эндпоинт на агента с методом в теле) и HTTP+JSON/REST для клиентов, предпочитающих RESTful-стиль.
| Слой | Компоненты | Функция |
|---|---|---|
| Управление | Agent Registry (DynamoDB), Semantic Search (S3 Vectors, Titan Embeddings) | Регистрация агентов, их карточек и поиск по описанию |
| Контроль | Lambda Authorizer, Permissions Table (DynamoDB) | Проверка JWT-scopes, генерация IAM-политик, доступ к конкретным путям |
| Выполнение | API Gateway, Proxy Lambda, Secrets Manager | Маршрутизация запросов, OAuth-аутентификация бэкендов, SSE-стриминг |
Архитектура шлюза состоит из трёх уровней. Уровень управления включает централизованный реестр агентов в DynamoDB и семантический поиск на основе эмбеддингов Amazon Titan Text Embeddings — клиенты могут искать агентов по описанию на естественном языке. Уровень контроля реализует тонкозернистый доступ с помощью JWT-токенов: Lambda Authorizer проверяет scopes (например, billing:read) и генерирует политики IAM, разрешающие доступ только к определённым путям. Уровень выполнения маршрутизирует запросы через Proxy Lambda, которая аутентифицируется в бэкенд-агентах через OAuth 2.0 client credentials flow, извлекая секреты из AWS Secrets Manager. Для потоковой передачи ответов (SSE) используется Lambda Web Adapter.
Архитектура включает три слоя: управление (реестр и семантический поиск), контроль (доступ на основе JWT-scopes) и выполнение (маршрутизация с SSE-стримингом).

Компоненты шлюза развёртываются с помощью Terraform. Amazon API Gateway (REST API) выступает точкой входа — выбран именно REST, а не HTTP API, из-за поддержки стриминга ответов. DynamoDB хранит три таблицы: реестр агентов (маппинг ID → URL, auth config, agent card), таблицу разрешений (scopes → allowed agents) и счётчики лимитов запросов. Amazon Cognito управляет аутентификацией через OAuth 2.0 client credentials flow. Семантические эмбеддинги хранятся в Amazon S3 Vectors.
Для команд, уже использующих A2A-совместимых агентов, внедрение шлюза не требует изменения кода клиентов — достаточно перенаправить их на домен шлюза вместо индивидуальных URL бэкендов. Новые агенты регистрируются через Admin Lambda. Такой подход ускоряет вывод новых агентских workflow, снижает операционные накладные и консолидирует политики безопасности.



