【攻略】Loom for AWS使用指南

攻略AWSAI Agent开发者工具发布:2026-07-14 11:49:39更新:2026-07-14 11:50:16

Loom for AWS是AWS Labs开源的企业级Agent运营平台,把Agent部署、记忆、MCP、A2A、权限、审计、成本与可观测性放进统一控制台。

很多团队已经能做出Agent演示,但真正上线时会连续遇到同一批问题:谁能调用哪些工具,凭证放在哪里,Agent之间怎样协作,执行记录如何审计,成本怎样按Agent统计。

AWS Labs新近开源的Loom for AWS,就是为这批生产问题准备的企业级Agent运营平台。

项目基本信息

  • 项目名称:Loom for AWS
  • GitHub仓库:awslabs/loom
  • 维护方:AWS Labs
  • License:Apache License 2.0
  • 主要技术栈:FastAPI、SQLAlchemy、boto3、React 18、TypeScript、Vite、Tailwind CSS、AWS SAM、ECS Fargate
  • 最近活动:main分支最新可核验提交为2026-07-10,加入通过LiteLLM支持多模型提供商的能力
  • Release状态:截至2026-07-14,仓库尚未发布正式Release,部署时应以main分支文档和提交记录为准

Loom建立在Amazon Bedrock AgentCore Runtime和AWS Strands Agents之上,提供统一管理界面。它可以管理Agent、记忆、MCP服务器、A2A Agent、身份与凭证、标签、成本和审批流程。

它解决什么问题

Loom最有价值的不是“帮你再造一个聊天页面”,而是把Agent从代码项目提升为可运营资源。

它支持:

  • 部署新Agent,或导入已有AgentCore Runtime Agent
  • 通过AgentCore Harness无代码配置托管Agent
  • 管理语义记忆、摘要记忆、用户偏好和情景记忆
  • 注册MCP服务器并发现工具,支持OAuth2和按角色限制工具
  • 注册A2A Agent,读取Agent Card并处理SSE或JSON响应
  • 使用Cognito和分组Scope做双维度权限控制
  • 为高风险工具动作加入人工审批和审计轨迹
  • 统计每次调用的Token与估算成本
  • 通过OpenTelemetry与ADOT查看调用链

最新代码还允许单个Agent把模型请求路由到自建LiteLLM代理。平台为每个Agent下发隔离的虚拟密钥,避免把共享主密钥塞进Agent本身。

部署前准备

本地体验至少需要:

  • Python 3.11或更高版本
  • uv依赖管理工具
  • Node.js 18或更高版本及npm
  • 已配置凭证的AWS CLI
  • AWS SAM CLI
  • Docker或Podman

如果继续部署到AWS,还要准备VPC、公私有子网、SAM制品S3桶、日志S3桶、Route 53域名,以及可用的Amazon Bedrock与AgentCore权限。

第一步:克隆并复制配置模板

git clone https://github.com/awslabs/loom.git\ncd loom\n\ncp backend/etc/environment.sh.example backend/etc/environment.sh\ncp frontend/etc/environment.sh.example frontend/etc/environment.sh\ncp shared/etc/common.sh.example shared/etc/common.sh\ncp shared/etc/environment.sh.example shared/etc/environment.sh\ntouch shared/etc/outputs.sh

核心配置集中在shared/etc/common.sh。至少要填写AWS Profile、Region、Account ID、S3桶、VPC与子网、公开域名、Cognito名称和数据库密码。

需要重点保护的配置包括:

  • RDS_PASSWORD
  • SUPER_ADMIN_PASSWORD
  • 演示用户密码
  • LiteLLM Master Key
  • 第三方OIDC客户端密钥

这些值不应提交到Git仓库,也不要直接复制进Agent提示词或前端代码。

第二步:先跑本地阶段

官方建议从“本地前后端+SQLite+Cognito”开始。这样既能测试真实身份流程,又不必先部署完整计算基础设施。

先部署Cognito:

cd shared\nmake cognito\nmake outputs\nmake cognito.set-passwords

启动后端:

cd backend\nuv venv .venv\nsource .venv/bin/activate\nmake install\nmake run

后端默认使用sqlite:///./loom.db,并监听本机8000端口。

启动前端:

cd frontend\nmake install\nmake dev

浏览器打开http://localhost:5173,使用前面配置的Cognito用户登录。

Windows用户需要注意,官方命令以类Unix Shell为例。PowerShell下激活虚拟环境的方式不同,或者可直接通过WSL运行部署脚本。

第三步:按三阶段逐步上云

Loom把部署拆成三个阶段:

  1. 本地阶段:SQLite、本地前后端、云端Cognito。
  2. 混合阶段:数据库切到Amazon RDS PostgreSQL,本地后端通过SSM隧道访问。
  3. 完整阶段:前端、后端和数据库全部部署到AWS,运行在ECS Fargate与Application Load Balancer之后。

混合阶段适合先验证多人共享数据和迁移;完整阶段则需要继续部署Route 53、ACM、ECR、ECS、RDS、IAM与负载均衡。官方估计端到端部署约35分钟,其中RDS约占25分钟。

一个适合企业的试用顺序

不要一上来把所有Agent和系统接入Loom。可以先选一个只读场景,例如:

  1. 注册一个内部知识库MCP服务器。
  2. 创建一个只允许读取指定工具的测试Agent。
  3. 用Cognito分组区分管理员与普通用户。
  4. 打开调用追踪和成本统计。
  5. 给一个高风险工具设置人工审批。
  6. 通过审计记录复盘权限是否过宽。

这条路径能同时验证Loom最核心的价值:Agent是否真正可管、可查、可控。

常见坑

第一,AWS资源前置条件较多。完整部署不是一个docker compose up就能完成的轻量工具,需要熟悉VPC、IAM、Cognito、SAM、ECS和RDS。

第二,仓库仍处于早期阶段。没有正式Release,也没有服务等级承诺,生产使用前必须自己完成依赖审计、安全评估和版本锁定。

第三,权限模型需要先设计。Loom同时使用类型组和资源组,若团队不先定义角色与Scope,后续会很容易把权限配宽。

第四,SSM隧道依赖VPC Endpoint与安全组。官方特别提醒,ssmssmmessagesec2messages端点缺失,或443入站规则错误,都会导致TargetNotConnected

第五,云成本不会因为使用开源平台自动消失。RDS、NAT Gateway、ALB、ECS、日志和模型调用都要单独核算。

适合谁,不适合谁

适合:

  • 已在AWS上运行企业AI应用的团队
  • 需要统一管理多个Agent、MCP和A2A集成的团队
  • 对身份、权限、成本、追踪和人工审批有明确要求的企业
  • 希望基于开源项目二次开发Agent控制台的技术团队

不太适合:

  • 只想快速做一个本地聊天机器人的个人用户
  • 没有AWS运维经验、也不准备投入云基础设施的团队
  • 仍处于单Agent概念验证阶段的小项目
  • 要求厂商提供明确SLA和长期商业支持的关键生产系统

地呱碰实践建议

对做企业数字化、AI应用开发和门店运营系统的团队,Loom最值得借鉴的是“控制面”思路:模型和Agent可以更换,但身份、工具权限、人工确认、成本和审计必须稳定存在。

即使不直接采用Loom,也可以把这五类能力加入自己的企业Agent方案:资源目录、最小权限、审批链、成本账和执行轨迹。

参考来源