技術的深掘り:AgentCore の決済機能とエージェント型コマースにおける革新
AWS は、自律型 AI エージェントがマイクロトランザクションを安全かつ効率的に実行できるよう、Coinbase と Stripe を活用した「AgentCore Payments」機能をベータ版として公開し、エージェント経済の基盤インフラを強化しました。
キーポイント
エージェント決済の構造的課題の解決
従来のクレジットカード決済は固定手数料が高いためセント単位のマイクロトランザクションに不向きであり、AWS はこの経済的・技術的障壁を打破する専用ソリューションを提供します。
ステーブルコインによるコスト効率化
サブセント単位の取引も経済的に成立させるため、ステーブルコインをサポートし、高頻度のマイクロペイメントを可能にする基盤を整備しました。
開発者の負担軽減とガバナンス機能
各プロバイダーごとの個別請求設定や複雑な統合作業を不要にし、予算制限などのガバナンス機能を標準装備することで、エージェントの自律的な取引を安全に管理します。
業界のパラダイムシフトへの対応
生成 AI エージェントが人間に代わって自動でコンテンツや API にアクセスする「アジェンティック・コマース」の拡大に伴い、決済インフラの標準化が急務となっている背景があります。
Payment Instrument の役割
エージェントが自律的に取引を行うために使用される「ペイメントインストルメント」は、エンドユーザーによって管理される自己保管型ウォレット(埋め込みウォレット)として機能します。
利用開始前の必須アクション
エージェントによる取引を可能にする前に、エンドユーザーが資金のチャージと署名権限の付与を行う必要があり、これはプロバイダー固有のフローに従います。
主要な取引フローの種類
Coinbase や Stripe などのプロバイダーは、暗号資産間送金、フィアットから暗号資産への送金、およびエージェントがユーザーに代わって署名する委譲署名の 3 つのフローをサポートしています。
重要な引用
The industry is entering a world where billions of generative AI agents operate autonomously, acting on behalf of humans, making decisions, and completing tasks without human intervention.
Most API calls and content accesses are worth only cents, yet traditional payment methods like credit cards include a fixed per-transaction fee (for example, USD $0.30), making them economically unviable for high-frequency microtransactions.
Amazon Bedrock AgentCore payments is purpose-built to address this complexity.
Payment instruments are what your agent uses to transact autonomously.
A payment instrument is essentially an embedded wallet, a self-custodial wallet address backed by the payment provider but managed by the end user.
影響分析・編集コメントを表示
影響分析
この発表は、自律型 AI エージェントが人間を介さずとも経済活動(購入・支払い)を行えるようになり、「アジェンティック・コマース」の実用化に向けた決定的なインフラ整備となります。特にマイクロトランザクションの経済的可行性を担保したことで、AI エージェントによる高頻度かつ小口の取引モデルが爆発的に拡大する可能性を示唆しています。
編集コメント
AI エージェントが単なる情報処理だけでなく、実際に経済取引を行うための「財布」としての機能を AWS が提供したことは、実社会でのエージェント活用における最大のボトルネックの一つを解消する画期的な一歩です。
業界は、数十億の生成 AI エージェントが自律的に動作し、人間の代わりに行動し、意思決定を行い、人間の介入なしにタスクを完了する世界へと移行しています。この変化を支えるため、Amazon Bedrock AgentCore は、開発者が大規模な生成 AI エージェントの構築、デプロイ、運用を支援するモジュラー型のフルマネージドプラットフォームを提供します。サーバー管理、セキュリティ、統合の複雑さを抽象化することで、AgentCore は基盤となるインフラストラクチャ層として機能し、開発者が最も重要なことに集中できるよう解放します:エージェントのロジックです。
このエージェント型の世界はすでに、コンテンツ、API、およびソフトウェアとしてのサービス(SaaS)プロバイダーがどのように運営しているかを再構築しています。ウェブ上での自動化されたトラフィックは人間のトラフィックを徐々に凌駕しており、エージェント AI は急速に成長するセグメントとなっています。出版者や API プロバイダーがエージェントアクセス向けに設計された従量課金モデルへ移行するよう、ビジネスモデルが書き換えられています。出版者やコンテンツデリバリーネットワーク(CDN)は、エージェントトラフィックのブロックと収益化を開始しています。API は、エージェントトラフィック向けに従量課金モデルへとシフトしています。この上昇傾向は、数十億のエージェントが自律的に数十億のエンドポイントにアクセスし、リアルタイムでサービスを選択して取引を行う未来を示唆しています。
AI エージェントは API、MCP(モデル・コンテキスト・プロトコル)、およびウェブブラウジングを通じて複雑なタスクを達成できますが、有料サービスやコンテンツへのアクセスにおいては壁に直面します。外部サービスを利用するには、各プロバイダーごとに個別の請求アカウントを契約して管理する必要があり、これが大きなオーバーヘッドとなります。さらに、ほとんどの API 呼び出しやコンテンツアクセスは数セント程度の価値しかありませんが、クレジットカードなどの従来の決済方法は固定取引手数料(例えば USD $0.30)を含むため、高頻度のマイクロトランザクションには経済的に成立しません。サードパーティのウォレット、支払いオーケストレーション、x402(人気のあるマシン間決済プロトコルの一つ)のようなエージェント・プロトコル対応、エッジケースへの対処、そしてエンドツーエンドの観測性を組み上げるには、数ヶ月にわたる作業が必要となります。統合の複雑さを超えて、開発者は突発的な支出を防ぐためのガバナンスと予算ガードレールをゼロから構築する必要があり、決済フローが求める厳格なセキュリティおよび規制コンプライアンス要件にも対応しなければなりません。
Amazon Bedrock AgentCore payments は、この複雑さを解決するために特別に設計されたものです。現在プレビュー版として利用可能で、各プロバイダーごとの手動請求設定なしに外部有料サービスへの即時支払いを実現し、セント未満の取引も経済的に成立させるためのコスト効率の高いマイクロトランザクションを可能にするステーブルコインをサポートし、エージェントの予算や取引制限に対するきめ細かい制御を提供する構成可能な支出ガードレールを備えています。本稿では、AgentCore payments の技術的な詳細について解説します。
Amazon Bedrock AgentCore payments の紹介
Amazon Bedrock AgentCore payments は、数行のコードで AI エージェントが有料 API、MCP(Model Context Protocol)、およびコンテンツに対するマイクロトランザクション支払いを自律的に実行できるように支援する、Amazon Bedrock AgentCore 内の最初のマネージドサービスです。コスト効率の高いマイクロトランザクションのためのステーブルコインサポートと、エージェントの支出を制御するための構成可能なガードレールを提供し、開発者の工数を数ヶ月から数日に短縮します。AgentCore のセキュリティ基盤の上に構築されたこの完全マネージドサービスは、アジェンシー型支払いワークフローの市場投入までの時間を加速します。以下の図は、AgentCore payments のプレビュー機能と、関連する AgentCore サービスとの相互作用を示しています。

*Figure 1: AgentCore payments capabilities.*
AgentCore payments の中核には、決済処理の複雑さを抽象化したシンプルな API が用意されています。エージェントは、単一の API 呼び出しを通じて、支払いプロバイダー、ネットワーク、または基盤となるプロトコルに関わらず、サポート対象の商社と取引を行うことができます。また、AgentCore payments は、インテリジェントな決済オーケストレーション、リアルタイムの予算執行、そしてエンドツーエンドの観測性も提供します。次のセクションでは、なぜエージェント型決済が独自に困難を伴うのか、そして AgentCore payments がそれぞれの課題にどのように対応しているのかについて、技術的な深掘りを行います。
Challenges
エージェント開発者向けに機能する決済機能を構築するために、チームは、エージェントが有料 API、MCP(Model Context Protocol)、およびコンテンツに対して支払いを行う機能を有効化する際に開発者が直面する主要な課題と疑問点をマッピングしました。
How do I fund my agent?
開発者が最初に直面する重要な障壁は、エージェントの取引を可能にするための資金調達方法を確立することです。実際の金銭が関わるため、これは単なるインフラの問題ではなく、セキュリティ上の問題でもあります。サードパーティの支払いウォレットとの統合は明白な選択肢ですが、開発者は認証キーが侵害されていないことを確認する必要があります。また、誰がウォレット上で操作を実行できるかを管理するための適切なアクセス制御が整備されていること、認証メカニズムが強力で改ざん耐性があること、そして不正アクセスや詐欺から保護するためにシステム全体に追加のセキュリティ層が存在することを証明しなければなりません。
決済ウォレットの安全な認証のために、AgentCore payments は AgentCore Identity を使用します。開発者は、特定の決済プロバイダー向けの統合リソースである「決済コネクタ」を作成します。これにより、AgentCore Identity 内に自動的に決済資格情報プロバイダがプロビジョニングされ、決済資格情報を安全なトークン vault に格納するとともに、生体認証情報を露出させることなくトークン化されたアクセス トークンを発行します。この資格情報プロバイダは、高性能かつ安全なデジタル署名のために特別に設計されています。決済プロバイダーとのウォレット操作には、EdDSA、ECDSA、ES256 をサポートしています。暗号化素材は AWS Secrets Manager に保存され、API からは返却されません。各決済コネクタは一意の AgentCore ワークロード ID と関連付けられています。このワークロード ID は、AgentCore 資格情報プロバイダシステムから、ワークロードスコープ限定で一度限り使用可能なアクセス トークンを取得するために使用されます。ワークロード ID とユーザー コンテキスト間の暗号化バインディングにより、マルチテナントの分離が実現されます。
インバウンド側では、AgentCore 決済 API にアクセスする際のリクエストパイプライン内で、OAuth と AWS SigV4 の両方の認証を強制することで、柔軟なセキュリティ層を提供しています。OAuth を使用する場合、インバウンドのベアータークンは AgentCore Identity に対して検証され、JWT クレームが抽出されて下流の操作に使用するユーザーID が導出されます。SigV4 の場合、リクエスト署名は AWS Identity and Access Management (IAM) を用いて検証されます。

*図 2: AgentCore 決済および AgentCore Identity のための安全な認証情報の保存。*
どの決済プロトコルを選ぶべきか、またその上で何を構築する必要があるのか?
エージェント型決済の環境は多数の競合するプロトコルに分散しており、開発者は overwhelm(圧倒)され、自らのユースケースに最適なものがどれなのか不明瞭な状況にあります。単一のプロトコルを習得するには多大な時間と労力が必要となります。なぜなら、各プロトコルにはバージョン管理、認証フロー、取引モデルなど、本番環境で動作するものを構築する前に開発者が理解しなければならない独自のニュアンスが存在するためです。プロトコルの選択に加え、開発者はこれらの複雑さを処理するための独自のアブストラクション層(抽象化レイヤー)を構築する必要があります。この作業は、複数のウォレットプロバイダー(それぞれが異なる認証およびウォレット API を持つ)、決済ネットワーク、そしてプロトコルにまたがる統合を行う際、組み合わせの数が膨大になるにつれて倍増します。これは単一の統合のように見えるものが、広大な組み合わせのマトリックスへと変化するのです。
これに対処するため、AgentCore payments は支払いオーケストレーションをサポートしており、これはアジェント型支払いの複雑さを支えるために特別に設計された中核エンジンです。これはあなたの AI アジェントと支払いプロバイダーの間に位置し、支払いリクエストを受け取ってアジェントが有料サービスへのアクセスのために提示できる支払い証明を返す単一の processPayment インターフェースを公開します。AgentCore payments は、x402 などの人気のあるアジェント型支払いプロトコルにわたる多段階の支払いフロー、再試行、およびエッジケースを自動的に管理することで、プロトコルの複雑さを抽象化します。これはプロトコルバージョン間の差異(例えば、x402 v1 と v2 は支払い要件の構造化方法と期待されるフィールドが異なる)を扱い、それらを暗号ネットワーク固有の取引データに変換し、支払い証明生成アルゴリズムを実装し、設定した支出制限を適用しながらプロバイダー API を通じて取引を安全に署名します。オーケストレーターは、各支払いプロトコルとプロバイダーが独立したインターフェースとして実装されるプラグイン可能なモデルを中心に設計されています。これは、新しいプロトコルのサポートを追加しても、中核のオーケストレーションロジックや開発者向け API に変更を加える必要がないことを意味します。開発者は引き続き同じ processPayment インターフェースを呼び出し、オーケストレーターは支払い要件に基づいて適切なコネクターとプロトコルハンドラーにルーティングします。

*図3:AgentCore payments の支払いオーケストレーションエンジン。*
エージェントの支出が制御不能にならないよう、どのように確認すればよいですか?
エージェントは本質的に自律的であるため、無制限な支出が発生する可能性は現実的なリスクです。開発者は、セッションレベルまたはユーザーレベルを問わず、ユーザーや企業の代わりに動作するエージェントが事前に定義された予算を超えないように、リアルタイムかつ決定論的に支出制限を適用するためのメカニズムが必要です。これらのガードレール(安全装置)が存在しない場合、単一の暴走したエージェントとの相互作用によって、重大な意図しないコストが発生する可能性があります。
エージェントが旅行の予約のようなユーザーリクエストに取り組む際、同じ予算から同時に複数の支払い(フライト、ホテル、レンタカーなど)を並行して開始する可能性があります。ある操作が別の操作の書き込み完了前に利用可能残高を読み取ると、結果として状態が古くなり、過剰支出が発生します。実際の同時負荷下ではこれは例外ケースではなく期待される動作であり、これを誤ると顧客の信頼を失う迅速な方法となります。AgentCore payments は、インフラストラクチャレベルで組み込まれた支出制限強制機能を提供し、スケーラブルに運用できるように設計されています。支出制限は、トランザクション処理前にエージェント支払い活動のためのスコープ付きかつ時間限定のコンテキストである支払いセッションの一部として構成され、ここで組み込まれた支出制限強制機能が働きます。この時点から、すべての processPayment 呼び出しは3段階のトランザクションワークフローを経由します:まず、要求された金額を原子的に差し引いて利用可能な支出制限が予約されます。次に、プロバイダーを通じて支払いが処理されます。最後に、成功時にはトランザクションがコミットされ、失敗時にはロールバックされて予約された金額が利用可能残高に戻されます。単一のエージェントであっても、数千のエージェントが同じ予算に対して同時に取引を行っていても、状態の古い読み取りや上書き、過剰支出は発生しません。開発者は、カスタム並行処理やロックロジックを構築することなく、スケーラブルな支出制御を得ることができます。

*図4:アトミック予算チェックのための3フェーズプロトコル。*
エージェントの支出を監査し、成功を測定するにはどうすればよいですか?
自律的に取引を行うエージェントの場合、開発者はその支払い行動について完全な可視性を確保する必要があります。これには、エージェントが行ったすべての取引を検証・監査できること、特定のセッションやタスクに遡って支出を追跡できること、総支出額、トランザクション成功率、タスクあたりのコストなどの支払いオペレーションに関する高レベルの指標にアクセスできることが含まれます。堅牢な観測性(observability)がなければ、開発者はコストの最適化を行ったり、異常を検出したり、投資対効果を示したりすることができません。
AgentCore payments はその負担を解消します。これは、インストゥルメントコードを一切必要とせずに、メトリクス、ログ、トレースという 3 つの柱からなる販売型観測システム(vended observability system)を、そのままお客様の AWS アカウントに配信するものです。すべての API 操作は、成功数、失敗数、レイテンシーに関する Amazon CloudWatch メトリクスを自動的に発行し、操作および支払いリソースごとに次元付けされます。processPayment はさらにトークン種別ごとの支出額も発行するため、各トークン種別でエージェントが実際にいくら支出しているかを正確に追跡できます。構造化ログは非同期のバッチ処理パイプラインを通じて配信され、それぞれに支払いリソースのコンテキストとリクエスト ID が含まれており、エンドツーエンドの相関分析を可能にします。分散トレースは W3C トレースコンテキスト伝播に基づき、OpenTelemetry 互換のスパンで構築されています。これらのスパンには支出額、残高予算、およびマルチステップ署名チェーンのパフォーマンスをトップレベルのスパン上で可視化する資格情報プロバイダのテレメトリなど、支払いに特化した属性が追加されます。これにより、開発者や企業はすべての支払いイベントについて完全な可視性を獲得し、実行スタック全体にわたる追跡可能性を得て、エージェントがお金をどのように使用しているかについての透明性と制御力を提供します。

*Figure 5: AgentCore payments service-emitted observability.*
Amazon Bedrock AgentCore payments の始め方
始めるには、AgentCore payments ドキュメントの前提条件をご覧ください。AgentCore payments は、複数のインターフェースを通じてセットアップして使用できます。
- Python 用 AWS SDK (Boto3)
- AWS Management Console
- Amazon Bedrock AgentCore SDK
- Strands Agents およびエージェントネイティブ統合用のプラグイン(組み込みの x402 フック付き)
以下のセクションでは、Amazon Bedrock AgentCore payments のセットアップと使用方法を示すコードスニペットをハイライトします。
一度きりの設定
AgentCore payments に登録する前に、支払いプロバイダーから API 認証情報が必要です。Stripe の場合は、Stripe ダッシュボードの [開発者] → [API キー] からシークレット API キーを取得してください。Coinbase の場合は、Coinbase Developer Platform から CDP API キーを作成し、キー名と秘密鍵ペアを発行させます。
AgentCore payments はこれらの認証情報を使用して、支払いコネクタを作成します。これはプロバイダー固有の統合であり、AgentCore payments と選択したプロバイダー間の橋渡し役として機能します。この支払いコネクタは、支払いマネージャーの下に登録されます。支払いマネージャーは、コネクタとインストルメントをグループ化する最上位エンティティであり、ウォレットのプロビジョニングから決済処理に至るまでの支払いフローを管理する統合された実行エンジンを提供します。
これらの認証情報は、このセットアップ時に一度だけ提供します。その後、AgentCore Identity が認証情報の保管を担当し、安全なトークン vault を使用することで、実行時に認証情報が露出しないようにします。エージェント自体は生認証情報へのアクセス権限を持ちません。トークンのローテーションはインフラストラクチャによって透明性を持って処理され、認証プロバイダーのアクセス権限についてはユーザーが完全に制御を維持できます。AgentCore Identity を使用してワンタイムで短寿命なトークンを生成できるのは、許可されたロールのみです。以下のコードは、AgentCore SDK を使用して、ワンタイムのセットアップを単一の呼び出しで行うものです。
from bedrock_agentcore.payments import PaymentClient
PaymentClient の作成
payment_client = PaymentClient(region_name="us-west-2")
コネクタと資格情報プロバイダを使用して支払いマネージャーを作成
response = payment_client.create_payment_manager_with_connector(
payment_manager_name="myPaymentManager",
payment_manager_description="myPaymentManager description",
authorizer_type="AWS_IAM",
role_arn=ROLE_ARN,
payment_connector_config={
"name": "myPaymentConnector",
"description": "myPaymentConnector description",
"payment_credential_provider_config": {
"name": "myCoinbasePaymentCredential",
"credential_provider_vendor": "",
"credentials": {
"api_key_id": API_KEY,
"api_key_secret": API_KEY_SECRET,
"wallet_secret": WALLET_SECRET,
},
},
}
)
応答から詳細を抽出
payment_manager_arn = response["paymentManager"]["paymentManagerArn"]
payment_connector_id = response["paymentManager"]["paymentConnectorId"]
支払い手段の設定
支払いマネージャーが設定されたら、支払いマネージャーと支払いコネクタを参照して*支払い手段(payment instrument)*を作成します。支払い手段とは、エージェントが自律的に取引を行うために使用するものです。支払い手段は本質的には埋め込みウォレットであり、支払いプロバイダによって裏付けられた自己管理型(self-custodial)のウォレットアドレスですが、エンドユーザーによって管理されます。
作成後、支払い手段には資金の投入が必要であり、エージェントが取引を行う前に署名権限が付与されなければなりません。これらは、お手持ちのエージェントで支払い手段を使用する前に完了させるべきエンドユーザーによるアクションです。このフローは支払いプロバイダーごとに固有のものであり、以下の通りです。
- Coinbase – 支払い手段のレスポンスに redirectUrl が含まれており、Coinbase がホストする WalletHub を指しています。署名権限の付与と資金の移転のためにユーザーをそこにリダイレクトしてください。
- Stripe – 提供された URL テンプレートを使用して、エンドユーザーが同様のアクションを実行できるフロントエンドページをホストします。
両方のプロバイダーは以下の 3 つのフローをサポートしています:
- Crypto-to-crypto(暗号資産間送金)– 既存の暗号資産ウォレットからの転送。
- Fiat-to-crypto(法定通貨から暗号資産へ)– ホストされた UI を介して、クレジットカードまたはデビットカード、あるいは Apple Pay などのサードパーティ製ウォレットからの転送。
- Delegated signing(委任署名)– エージェントが委任鍵を使用してユーザーに代わって署名を行います。
from bedrock_agentcore.payments import PaymentManager
マネージャーの初期化
manager = PaymentManager(
payment_manager_arn=payment_manager_arn,
region_name="us-west
原文を表示
The industry is entering a world where billions of generative AI agents operate autonomously, acting on behalf of humans, making decisions, and completing tasks without human intervention. To support this shift, Amazon Bedrock AgentCore provides a modular, fully managed platform that helps developers build, deploy, and operate generative AI agents at scale. By abstracting the complexities of server management, security, and integrations, AgentCore acts as the foundational infrastructure layer, relieving developers to focus on what matters most: the agent’s logic.
This agentic world is already reshaping how content, APIs, and software as a service (SaaS) providers operate. Automated traffic is increasingly surpassing human traffic on the web, and agentic AI is a fast-growing segment. Business models are rewritten so that publishers and API providers shift to pay-per-use models tailored for agent access. Publishers and content delivery networks (CDNs) are beginning to block and monetize agent traffic. APIs are shifting toward pay-per-use models tailored for agentic traffic. This rising trend points to a future where billions of agents autonomously access billions of endpoints, dynamically selecting services and transacting in real time to get the job done.
Although AI agents can accomplish complex tasks through APIs, MCPs, and web browsing, they encounter a wall when accessing paid services and content. Accessing external services requires subscribing to and managing separate billing accounts with each provider, creating significant overhead. Compounding this, most API calls and content accesses are worth only cents, yet traditional payment methods like credit cards include a fixed per-transaction fee (for example, USD $0.30), making them economically unviable for high-frequency microtransactions. Wiring together third-party wallets, payment orchestration, agentic protocol support such as x402 (one of the popular machine-to-machine payment protocols), edge case handling, and end-to-end observability can take months of work. Beyond integration complexity, developers must build governance and budget guardrails from scratch to help prevent runaway spending, and meet the strict security and regulatory compliance requirements that payment flows demand.
Amazon Bedrock AgentCore payments is purpose-built to address this complexity. Now available in preview, it provides instant payments to paid external services with no manual billing setup per provider, stablecoin support for cost-effective microtransactions that make sub-cent transactions economically viable, and configurable spending guardrails that give you fine-grained control over agent budgets and transaction limits. In this post, we walk you through a technical deep dive of AgentCore payments.
Introducing Amazon Bedrock AgentCore payments
Amazon Bedrock AgentCore payments is the first managed service within Amazon Bedrock AgentCore that helps AI agents autonomously execute microtransaction payments for paid APIs, MCPs, and content with a few lines of code. It provides stablecoin support for cost-effective microtransactions and configurable guardrails to control agent spending, reducing developer effort from months to days. Built on the security foundation of AgentCore, this fully managed service accelerates time-to-market for agentic payment workflows. The following diagram illustrates the preview capabilities of AgentCore payments and how it interacts with related AgentCore services.

*Figure 1: AgentCore payments capabilities.*
At its core, AgentCore payments offers a straightforward API that abstracts the complexity of payments processing. Agents can transact with supported merchants regardless of their payment provider, network, or underlying protocol through a single API call. AgentCore payments also provides intelligent payment orchestration, real-time budget enforcement, and end-to-end observability. The next section takes a technical deep dive into why agentic payments are uniquely challenging, and how AgentCore payments addresses each of these challenges.
Challenges
To build a payment capability that works for agent developers, the team mapped out the key challenges and questions developers face when enabling their agent to pay for paid APIs, MCPs, and content.
How do I fund my agent?
The first critical hurdle for a developer is figuring out how to fund the agent that powers their agent’s transactions. Because real money is at stake, this isn’t only a plumbing problem, it’s a security problem. Integrating with a third-party payment wallet is an obvious choice, but developers must verify that authentication keys aren’t compromised. They must confirm that the right access controls are in place to govern who can perform operations on the wallet, that authentication mechanisms are robust and tamper-proof, and that additional layers of security exist throughout the system to protect against unauthorized access and fraud.
For secure authentication of payment wallets, AgentCore payments uses AgentCore Identity. Developers create a payment connector, which is a payment provider-specific integration resource. This automatically provisions a payment credential provider in AgentCore Identity, which stores payment credentials in a secure token vault and mints tokenized access tokens without exposing raw credentials. This credential provider is specifically designed for high-performance, secure digital signatures. It supports EdDSA, ECDSA, and ES256 for wallet operations with payment providers. The cryptographic material lives in AWS Secrets Manager and isn’t returned from APIs. Each payment connector is associated with a unique AgentCore workload identity. The workload identity is used to obtain a workload-scoped, one-time-use access token from the AgentCore credential provider system. The cryptographic binding between workload identity and user context provides multi-tenant isolation.
On the inbound side, the service enforces dual authentication, OAuth and AWS SigV4, within the same request pipeline for accessing AgentCore payments APIs, providing a flexible security layer. For OAuth invocations, the inbound bearer token is validated against AgentCore Identity, and JWT claims are extracted to derive user identity for downstream operations. For SigV4, the request signature is validated using AWS Identity and Access Management (IAM).

*Figure 2: Secure credential storage for AgentCore payments and AgentCore Identity.*
Which payment protocol should I pick, and what do I need to build on top of it?
The agentic payments landscape is fragmented across numerous competing protocols, leaving developers overwhelmed and unclear on which one fits their specific use case. Ramping up on a single protocol demands significant time and effort because each comes with its own nuances (versioning, authentication flows, transaction models) that developers must understand before building anything production-ready. Beyond protocol selection, developers must also construct their own abstraction layer to handle these complexities. The effort compounds as the permutations grow: building across multiple wallet providers (each with different auth and wallet APIs), payment networks, and protocols turns what seems like a single integration into a sprawling matrix of combinations.
To address this, AgentCore payments supports payment orchestration, a core engine purpose-built to power the complexities of agentic payments. It sits between your AI agent and payment providers, exposing a single processPayment interface that takes a payment request and returns a payment proof that an agent can present to access paid services. AgentCore payments abstracts protocol complexity by automatically managing multi-step payment flows, retries, and edge cases across popular agentic payment protocols like x402. It handles variations across protocol versions (for example, x402 v1 and v2 differ in how payment requirements are structured and what fields are expected), transforming those into crypto-network-specific transaction data, implementing payment proof generation algorithms, and signing transactions securely through provider APIs while enforcing the spend limits you configured. The orchestrator is architected around a pluggable model where each payment protocol and provider is implemented as an independent interface. This means adding support for a new protocol doesn’t require changes to the core orchestration logic or the developer-facing API. Developers continue calling the same processPayment interface, and the orchestrator routes to the right connector and protocol handler based on the payment requirements.

*Figure 3: AgentCore payments payment orchestration engine.*
How do I verify that my agent doesn’t go off the rails in spending?
Agents are autonomous by nature, which means unconstrained spending is a real possibility. Developers need mechanisms to enforce spending limits in real time, deterministically, so an agent operating on behalf of a user or business can’t exceed predefined budgets, whether at the session level or user level. Without these guardrails, a single runaway agent interaction could result in significant unintended costs.
When an agent works on a user request like booking a trip, it might initiate multiple payments in parallel (flights, hotel, car rental) drawing from the same budget simultaneously. If one operation reads the available balance before another has finished writing, the result is stale state and overspending. Under real concurrent load, this isn’t an edge case, it’s expected behavior, and getting it wrong is a fast way to break customer trust. AgentCore payments provides built-in spending limit enforcement at the infrastructure level, designed to operate at scale. A spend limit is configured as part of the payment session, a scoped, time-bounded context for agent payment activity with built-in spending limit enforcement, before a transaction is processed. From that point, every processPayment call goes through a three-phase transaction workflow: first, the available spending limit is reserved by deducting the requested amount atomically. Then the payment is processed through the provider. Finally, the transaction is committed on success or rolled back on failure, restoring the reserved amount to the available balance. Whether it’s a single agent or thousands transacting against the same budget simultaneously, there are no stale reads, no overwrites, and no overspending. Developers get spend control at scale without building custom concurrency or locking logic.

*Figure 4: Three-phase protocol for atomic budget check.*
How do I audit my agent’s spending and measure success?
For an agent that is transacting autonomously, developers need full visibility into its payment behavior. This means the ability to review and audit every transaction the agent has made, trace spending back to specific sessions or tasks, and access high-level metrics on payment operations such as total spend, transaction success rates, and cost-per-task. Without robust observability, developers are unable to optimize costs, detect anomalies, or demonstrate return on investment.
AgentCore payments removes that burden. It delivers a three-pillar vended observability system (metrics, logs, and traces) published directly into your AWS account with zero instrumentation code required. Every API operation automatically emits Amazon CloudWatch metrics for success counts, failure counts, and latency, dimensioned by operation and payment resources. processPayment additionally emits spend amount by token type so you can track exactly what your agents are spending by each token type. Structured logs are delivered through an asynchronous, batched pipeline, each carrying the payment resource context and request ID for end-to-end correlation. Distributed traces are built on W3C trace context propagation with OpenTelemetry-compatible spans. These spans are enriched with payment-specific attributes, including spend amount, remaining budget, and credential provider telemetry that surfaces the multi-step signing chain’s performance on the top-level span. Together, this gives developers and businesses full visibility into every payment event with traceability across the entire execution stack, providing transparency and control over what their agents are doing with money.

*Figure 5: AgentCore payments service-emitted observability.*
Getting started with Amazon Bedrock AgentCore payments
To get started, see the prerequisites in the AgentCore payments documentation. You can set up and use AgentCore payments through multiple interfaces:
- AWS SDK for Python (Boto3).
- AWS Management Console.
- Amazon Bedrock AgentCore SDK.
- Strands Agents and plugin for agent-native integration with built-in x402 hooks.
The following section highlights code snippets that demonstrate how to set up and use Amazon Bedrock AgentCore payments.
One-time configuration
Before registering with AgentCore payments, you need API credentials from your payment provider. For Stripe, retrieve your secret API key from the Stripe Dashboard under Developers → API Keys. For Coinbase, create a CDP API key from the Coinbase Developer Platform, which issues a key name and private key pair.
AgentCore payments uses these credentials to create a payment connector, a provider-specific integration that serves as the bridge between AgentCore payments and your chosen provider. The payment connector is registered under a payment manager, the top-level entity that groups your connectors and instruments together and provides a unified execution engine that manages the payment flow, from wallet provisioning through payment processing.
You provide these credentials once during this setup. AgentCore Identity then assumes responsibility for credential storage, using a secure token vault so credentials aren’t exposed at runtime. The agent itself has no access to the raw credentials. Token rotation is handled transparently by the infrastructure, while you maintain full control over the credential provider’s access permissions. Only authorized roles have access to generating one-time, short-lived tokens using AgentCore Identity. The following code performs the one-time setup in a single call using the AgentCore SDK.
from bedrock_agentcore.payments import PaymentClient
# Create PaymentClient
payment_client = PaymentClient(region_name="us-west-2")
# Create payment manager with connector and credential provider
response = payment_client.create_payment_manager_with_connector(
payment_manager_name="myPaymentManager",
payment_manager_description="myPaymentManager description",
authorizer_type="AWS_IAM",
role_arn=ROLE_ARN,
payment_connector_config={
"name": "myPaymentConnector",
"description": "myPaymentConnector description",
"payment_credential_provider_config": {
"name": "myCoinbasePaymentCredential",
"credential_provider_vendor": "",
"credentials": {
"api_key_id": API_KEY,
"api_key_secret": API_KEY_SECRET,
"wallet_secret": WALLET_SECRET,
},
},
}
)
# Extract details from response
payment_manager_arn = response["paymentManager"]["paymentManagerArn"]
payment_connector_id = response["paymentManager"]["paymentConnectorId"]Set up the payment instrument
With the payment manager set up, you create a *payment instrument* by referencing the payment manager and payment connector. Payment instruments are what your agent uses to transact autonomously. A payment instrument is essentially an embedded wallet, a self-custodial wallet address backed by the payment provider but managed by the end user.
After it’s created, the instrument must be funded, and signing authorization must be granted before the agent can transact. These are end-user actions that should be completed before using the payment instrument in your agent. The flow is specific to the payment provider:
- Coinbase – You receive a redirectUrl in the payment instrument response, which points to the Coinbase-hosted WalletHub. Redirect your user there to grant signing permission and transfer funds.
- Stripe – You use a provided URL template to host a front-end page where end users can take the same actions.
Both providers support three flows:
- Crypto-to-crypto – Transfer from an existing crypto wallet.
- Fiat-to-crypto – Transfer from a credit or debit card, or from third-party wallets like Apple Pay, through a hosted UI.
- Delegated signing – The agent signs on behalf of the user using a delegated key.
from bedrock_agentcore.payments import PaymentManager
Initialize manager
manager = PaymentManager(
payment_manager_arn=payment_manager_arn,
region_name="us-west
関連記事
Amazon Bedrock AgentCore Gateway を用いたマルチテナントエージェントのためのオンビハーフ・オブ・トークン交換の実装
Strands Agents と Amazon Bedrock を活用したマルチエージェント社会知能
Amazon Nova Act を用いたエージェント型 QA 自動化によるソフトウェアデリバリーの加速 – 第 2 部
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み