Автоматизация AML-триажа с Amazon Quick Flows и Snowflake Cortex AI — ИИ для бизнеса

Автоматизация AML-триажа с Amazon Quick Flows и Snowflake Cortex AI

Прослушать статью

Финансовые организации, работающие на AWS и Snowflake, получают выгоду от глубоко интегрированной платформы, которая объединяет AI Data Cloud Snowflake с облачной инфраструктурой AWS, включая интеграции с такими сервисами AWS, как Amazon Simple Storage Service (Amazon S3), AWS Glue, Amazon SageMaker и Amazon Bedrock. Благодаря более чем 50 нативным интеграциям между сервисами AWS и Snowflake организации могут строить комплаенс-процессы, которые сохраняют безопасность данных и ускоряют получение ценности.

В этом материале показано, как эта интеграция работает на практике: автоматизируется один из самых трудоемких процессов в финансовых услугах — триаж AML-оповещений. Вы построите workflow для триажа с помощью Amazon Quick Flows и Snowflake Cortex, соединенных через интеграцию Amazon Quick по протоколу Model Context Protocol (MCP). В тестовой среде автоматизированные workflow, построенные на Amazon Quick, сократили время расследования оповещения с 30–90 минут до менее чем 5 минут. Фактические результаты могут отличаться в зависимости от сложности оповещения и объема данных.

По мере зрелости внедрения ИИ организации понимают, что наиболее ценные сценарии — это не отдельные ассистенты, а повторяемые workflow, которые оркестрируют действия между уже используемыми инструментами и превращают многошаговые ручные процессы в опыт «в один клик». Amazon Quick — это корпоративный ИИ-сервис, который предоставляет генеративные chat agents, исследовательские возможности, Quick Flows для автоматизации задач и Amazon Quick Automate для автоматизации процессов, агрегируя данные из множества источников, включая нативные индексы, пользовательские базы знаний и файлы, загружаемые пользователями. Quick Flows, часть Amazon Quick, преобразует запросы пользователей в стандартизированные вызовы по протоколу MCP — открытому стандарту протокола, — устраняя необходимость в кастомных коннекторах и сохраняя корпоративную безопасность через аутентификацию OAuth. Quick Flows особенно хорошо подходит для AML-триажа, потому что расследование всегда идет по одной и той же структуре: собрать входные данные, провести расследование и сформировать результат. Тот же подход на основе MCP применим к повторяемым workflow, где команды сейчас вручную связывают системы, например для triage затрат в FinOps, реагирования на инциденты SRE или комплаенс-расследований.

AML-аналитики в банках среднего и крупного размера обычно тратят на одно оповещение от 30 до 90 минут, вручную собирая данные и формируя narrative по итогам разбирательства. Согласно исследованию отрасли, финансовые организации обычно сталкиваются с тем, что 90–95% AML-оповещений являются ложноположительными, поэтому эффективный триаж критически важен. Ручной процесс расследования в таких масштабах создает значительную нагрузку на комплаенс-команды. Автоматизация позволяет аналитикам обрабатывать оповещения эффективнее, сокращать время расследования и при этом сохранять стандарты соответствия.

Обзор решения

На следующей схеме показана сквозная архитектура интеграции, связывающая Amazon Quick и Snowflake через Model Context Protocol (MCP).

Архитектурная схема, показывающая интеграцию Amazon Quick с Snowflake-managed MCP server через Model Context Protocol по OAuth, с Cortex Analyst и Cortex Search в качестве backend-инструментов

Рисунок 1: Интеграция Snowflake-managed MCP server с Amazon Quick через Model Context Protocol

Решение использует Amazon Quick Flows как слой оркестрации, а управляемое Amazon Quick подключение — для доступа к Snowflake Cortex Agent через Snowflake-managed MCP server с аутентификацией OAuth. Cortex Agent выполняет расследование, анализируя как структурированные данные о транзакциях через Cortex Analyst, так и неструктурированные комплаенс-документы через Cortex Search, а Quick Flows отвечает за валидацию входных данных, логику рассуждения и форматированное представление результата.

Схема workflow для AML-триажа, показывающая Amazon Quick Flows с MCP action steps, вызывающими Snowflake Cortex Agent, который оркестрирует Cortex Analyst и Cortex Search

Рисунок 2: Workflow AML-триажа: Amazon Quick Flows с MCP action steps, вызывающими Snowflake Cortex Agents (Cortex Analyst и Cortex Search)

Ниже описан сквозной опыт аналитика — от шага ввода в Quick Flow до готового investigation brief. Аналитик открывает опубликованный flow, вводит alert ID (например, ALT-2026-03-02-002) и при необходимости указывает временное окно. Затем flow:

  1. Проверяет входные данные и подтверждает, что оповещение существует.
  2. Вызывает Snowflake Cortex Agent через MCP для расследования оповещения по данным о транзакциях, профилю клиента, прошлой истории и комплаенс-политике.
  3. Формирует структурированный investigation brief: summary оповещения, pattern транзакций, профиль клиента, prior SARs, ссылки на policy, risk score, recommendation по disposition и черновик narrative.

Реализация

В этом разделе мы пошагово покажем, как построить workflow AML-триажа: от подготовки слоя данных в Snowflake до настройки оркестрации в Quick Flows. Сначала идут prerequisites, а каждый следующий шаг опирается на предыдущий, так что в конце у вас будет полностью функциональный автоматизированный end-to-end pipeline для использования аналитиками.

Требования

  • Аккаунт Amazon Quick с возможностью настраивать MCP action connector.
  • Аккаунт Snowflake с доступом к Cortex Agents, Cortex Search и функции Snowflake-managed MCP server. Нужны права на создание объектов AGENT, MCP SERVER, CORTEX SEARCH SERVICE и SECURITY INTEGRATION.
  • AML-данные в Snowflake. Оповещения transaction monitoring (из вашего TMS, например Actimize, Norkom или внутреннего rules engine), мастер-данные клиента/счета и записи KYC/CDD. Semantic view, моделирующий измерения alert, transaction, customer и disposition.
  • Корпус комплаенс-документов в Snowflake. Руководство BSA/AML policy, guidelines для подачи SAR, заметки по прошлым расследованиям и регуляторные разъяснения (FinCEN advisories, выдержки из FFIEC BSA/AML manual), загруженные в таблицу для индексирования Cortex Search.
  • Знание SQL, администрирования Snowflake и концепций AWS Identity and Access Management (IAM).

Шаг 1: Подготовьте AML semantic view (Snowflake)

Cortex Analyst лучше всего работает, когда ему дают semantic view, соответствующий тому, как ваша комплаенс-команда думает об оповещениях и расследованиях. Snowflake-managed MCP server поддерживает semantic views с Cortex Analyst. Перейдите в Snowsight, затем в AI & ML, затем в Semantic Views и создайте semantic view поверх ваших AML-таблиц (dimensions и measures) в Snowflake:

  • Alert metadata: alert_id, alert_date, rule_name, rule_category, severity, status, alert_score.
  • Transaction details: txn_id, txn_date, txn_type, amount, currency, channel, originator, beneficiary, beneficiary_country.
  • Customer profile: customer_id, full_name, risk_rating, country, industry, onboarding_date, pep_flag, sanctions_flag.
  • Account activity: account_id, account_type, current_balance, avg_monthly_volume, status.
  • Disposition history: prior alerts, prior SARs, last disposition outcome, analyst notes.

Определите связи (joins) между alerts, transactions, customers, accounts и dispositions, чтобы agent мог проходить по модели данных в рамках одного запроса.

Шаг 2: Создайте Cortex Search service для комплаенс-документов (Snowflake)

AML-триаж сильно зависит от неструктурированного контекста. Создайте Cortex Search service поверх корпуса комплаенс-документов, чтобы agent мог извлекать релевантные разделы policy, шаблоны подачи SAR и заметки по прошлым расследованиям в ходе каждого triage.

Формулы и расчет
CREATE OR REPLACE CORTEX SEARCH SERVICE aml_policy_search
ON search_content
ATTRIBUTES doc_type, effective_date, regulatory_body
WAREHOUSE = AML_WH
TARGET_LAG = '1 hour'
EMBEDDING_MODEL = 'snowflake-arctic-embed-l-v2.0'
AS (
 SELECT
 doc_id,
 doc_type,
 effective_date,
 regulatory_body,
 content AS search_content
 FROM FINCRIMES_DB.AML_SCHEMA.COMPLIANCE_DOCS
);

В индексируемые документы входят policy manual вашей организации по BSA/AML, thresholds и narrative-шаблоны для SAR, FinCEN advisories, выдержки из FFIEC BSA/AML manual, предыдущие заметки по расследованиям (с редактированием при необходимости) и guidance по screening санкций/PEP.

Шаг 3: Создайте AML triage Cortex Agent (Snowflake)

Создайте Cortex Agent, который оркестрирует работу с вашим transaction semantic view (Cortex Analyst) и сервисом поиска по комплаенс-документам (Cortex Search). Спецификация agent включает блок системных инструкций, в котором зашита методология расследования вашей организации. Этот блок намеренный и должен быть настроен под вашу среду. Приведенные по умолчанию инструкции отражают типичный AML-triage workflow, но перед выводом в production их нужно адаптировать под собственные процедуры, критерии escalation и регуляторные обязательства.

Пересмотрите пронумерованные шаги в блоке системных инструкций и переставьте или удалите шаги, которые не подходят вашему workflow. Добавьте контекст конкретной организации, например юрисдикцию и применимые регуляторные рамки. Обновите блок response format так, чтобы он соответствовал ожидаемой структуре вывода вашей case management system. Обновите блок sample_questions представительными alert ID или шаблонами запросов из вашей среды, чтобы удобнее проверять поведение agent во время тестирования.

Держите orchestration budget консервативным, чтобы agent укладывался в ограничения Amazon Quick MCP timeout (сейчас 300 секунд). После создания agent перейдите в Snowsight и обновите warehouse по умолчанию, который будет использоваться для Cortex Analyst tool.

Формулы и расчет
CREATE OR REPLACE AGENT aml_triage_agent
COMMENT = 'Daily AML alert triage agent'
FROM SPECIFICATION
$$
orchestration:
 budget:
 seconds: 120
 tokens: 16000
instructions:
 system: |
 You are an AML alert triage assistant for a regulated
 financial institution.
 Your job is to:
 (1) Retrieve and summarize the flagged transaction pattern.
 (2) Pull the customer profile and account activity baseline.
 (3) Check for prior alerts, SARs, or investigations on this
 customer.
 (4) Retrieve relevant policy sections and SAR filing
 thresholds.
 (5) Produce a structured investigation brief with a risk
 score and disposition recommendation.
 Never fabricate transaction data. If data is missing, say so.
 response: |
 Always use this output format:
 1. Alert Summary (alert ID, rule, severity, date)
 2. Transaction Pattern (amounts, counterparties, channel,
 frequency)
 3. Customer Profile (risk rating, onboarding, country,
 industry)
 4. Prior History (past alerts, SARs, dispositions)
 5. Policy Reference (applicable thresholds, guidance)
 6. Risk Assessment (score 1-10, rationale)
 7. Disposition Recommendation (close / escalate / file SAR)
 8. Draft Narrative (2-3 paragraphs for case notes or SAR)
 sample_questions:
 - question: "Review alert ALT-2026-03-02-002"
 answer: "I will pull the transaction details, customer
      profile, check prior history, and produce an
      investigation brief."
tools:
 - tool_spec:
 type: cortex_analyst_text_to_sql
 name: TxnAnalyst
 description: TxnAnalyst
 - tool_spec:
 type: cortex_search
 name: PolicySearch
tool_resources:
 TxnAnalyst:
 semantic_view: FINCRIMES_DB.AML_SCHEMA.AML_SEMANTIC_VIEW
 PolicySearch:
 name: FINCRIMES_DB.AML_SCHEMA.AML_POLICY_SEARCH
$$;

Шаг 4: Создайте Snowflake-managed MCP server

Snowflake Cortex Agents не доступны автоматически внешним MCP-клиентам. Создайте объект MCP SERVER, в котором перечислите инструменты, которые должен обнаруживать Amazon Quick.

CREATE OR REPLACE MCP SERVER aml_mcp_server
FROM SPECIFICATION
$$
tools:
 - title: "AML Triage Agent"
 name: "aml_triage"
 type: "CORTEX_AGENT_RUN"
 identifier: "FINCRIMES_DB.AML_SCHEMA.AML_TRIAGE_AGENT"
 description: "Runs the AML alert triage agent for daily
    compliance investigation."
 - title: "Transaction Analyst"
 name: "txn_analyst"
 type: "CORTEX_ANALYST_MESSAGE"
 identifier: "FINCRIMES_DB.AML_SCHEMA.AML_SEMANTIC_VIEW"
 description: "Governed natural-language queries over
    transaction monitoring data."
 - title: "Policy Search"
 name: "policy_search"
 type: "CORTEX_SEARCH_SERVICE_QUERY"
 identifier: "FINCRIMES_DB.AML_SCHEMA.AML_POLICY_SEARCH"
 description: "Search BSA/AML policy, SAR guidelines,
    and prior investigation notes."
$$;

Шаг 5: Настройте Snowflake OAuth для Amazon Quick

Amazon Quick поддерживает OAuth для MCP-интеграций. Управляемый MCP server Snowflake поддерживает OAuth 2.0, но не поддерживает Dynamic Client Registration, поэтому в Amazon Quick нужно использовать ручную настройку.

  1. В Snowflake создайте SECURITY INTEGRATION типа OAUTH и зарегистрируйте redirect URL Amazon Quick.
    Формулы и расчет
    -- CREATE ROLES
    CREATE OR REPLACE ROLE IDENTIFIER('AML_MCP_ROLE');
    
    -- Create a security integration for quicksight
    CREATE OR REPLACE SECURITY INTEGRATION aml_quick_oauth
     TYPE = OAUTH
     OAUTH_CLIENT = CUSTOM
     ENABLED = TRUE
     OAUTH_CLIENT_TYPE = 'CONFIDENTIAL'
     OAUTH_REDIRECT_URI = 'https://{region}.quicksight.aws.amazon.com/sn/oauthcallback'
     OAUTH_ISSUE_REFRESH_TOKENS = TRUE
     OAUTH_REFRESH_TOKEN_VALIDITY = 86400
     PRE_AUTHORIZED_ROLES_LIST = ('AML_MCP_ROLE');
    

    Подтвердите точный URL для вашего региона в консоли Amazon Quick и соответствующим образом обновите значение OAUTH_REDIRECT_URI в предыдущей команде.

  2. Выполните следующую команду, чтобы получить client ID и client secret:

    SELECT SYSTEM$SHOW_OAUTH_CLIENT_SECRETS('AML_QUICK_OAUTH');
    

    Запишите значения OAUTH_CLIENT_ID и OAUTH_CLIENT_SECRET.

  3. Выполните следующую команду, чтобы получить значения endpoints OAuth в Snowflake:

    DESC INTEGRATION aml_quick_oauth;
    

    Запишите значения OAUTH_AUTHORIZATION_ENDPOINT и OAUTH_TOKEN_ENDPOINT.

Шаг 6: Настройте доступ по принципу наименьших привилегий (Snowflake)

Создайте отдельную роль для доступа Amazon Quick к MCP. Выдайте USAGE на MCP server и underlying tools. Доступ к MCP server не дает автоматически доступ к инструментам, которые он публикует.

Формулы и расчет
CREATE OR REPLACE USER {quickuser} PASSWORD='{password}' DEFAULT_ROLE = AML_MCP_ROLE DEFAULT_WAREHOUSE='{DEFAULT_WAREHOUSE}';

GRANT USAGE ON DATABASE FINCRIMES_DB TO ROLE AML_MCP_ROLE;
GRANT USAGE ON SCHEMA FINCRIMES_DB.AML_SCHEMA TO ROLE AML_MCP_ROLE;
GRANT USAGE ON MCP SERVER FINCRIMES_DB.AML_SCHEMA.AML_MCP_SERVER
 TO ROLE AML_MCP_ROLE;
GRANT USAGE ON AGENT FINCRIMES_DB.AML_SCHEMA.AML_TRIAGE_AGENT
 TO ROLE AML_MCP_ROLE;
GRANT SELECT ON SEMANTIC VIEW
 FINCRIMES_DB.AML_SCHEMA.AML_SEMANTIC_VIEW TO ROLE AML_MCP_ROLE;
GRANT USAGE ON CORTEX SEARCH SERVICE
 FINCRIMES_DB.AML_SCHEMA.AML_POLICY_SEARCH TO ROLE AML_MCP_ROLE;

Шаг 7: Зарегистрируйте Snowflake MCP server в Amazon Quick

В консоли Amazon Quick перейдите в раздел Connectors и откройте вкладку Connect to your team. Выберите значок плюс (+) на плитке Model Context Protocol, чтобы начать настройку (Рисунок 3).

Страница Amazon Quick Connectors с выбранной плиткой Model Context Protocol

Рисунок 3: Страница Amazon Quick Connectors: выбор плитки Model Context Protocol для добавления новой MCP-интеграции

Введите endpoint Snowflake MCP server:

https://<account_url>/api/v2/databases/FINCRIMES_DB/schemas/AML_SCHEMA/mcp-servers/AML_MCP_SERVER
Экран настройки интеграции Amazon Quick MCP с введенным URL endpoint Snowflake MCP server

Рисунок 4: Интеграция Amazon Quick MCP: ввод URL endpoint Snowflake MCP server

Нажмите Next. Выберите User authentication (OAuth) и затем Manual configuration. Введите client ID и secret из SECURITY INTEGRATION Snowflake, а также Snowflake OAuth authorization и token URLs. Нажмите Create and continue. Amazon Quick подключится к MCP server и обнаружит доступные инструменты.

Рисунок 5: Интеграция Amazon Quick MCP: поля ручной настройки OAuth, заполненные учетными данными Snowflake

Для аутентификации в Snowflake нужно использовать пользователя Snowflake, созданного на шаге 6.

Страница входа Snowflake с запросом учетных данных пользователя

Рисунок 6: Вход в Snowflake с использованием ваших учетных данных Snowflake

Проверьте список обнаруженных действий, соответствующих Snowflake-managed MCP server tools (Cortex Agent, Cortex Analyst, Cortex Search), и подтвердите. Эти инструменты выполняют расследование, а Quick Flow вызывает их как action steps в соответствии с логикой workflow, которую вы зададите.

Страница проверки интеграции Amazon Quick MCP со списком обнаруженных инструментов Cortex Agent
Страница проверки интеграции Amazon Quick MCP со списком обнаруженных инструментов Cortex Analyst и Cortex Search

Рисунок 7: Страница проверки интеграции Amazon Quick MCP с показанными обнаруженными инструментами: aml_triage, txn_analyst и policy_search

Шаг 8: Постройте AML triage Quick Flow

Перейдите в Quick Flows и выберите Create flow. Вы можете описать workflow на естественном языке или собрать его по шагам в визуальном редакторе. Flow состоит из четырех частей: шага ввода, reasoning group с MCP action steps, шага вывода и необязательного follow-up chat.

Шаг ввода: Соберите alert ID

Добавьте шаг User input, который предложит аналитикам ввести alert ID (например, ALT-2026-03-02-002) и необязательное временное окно. Это делает flow повторяемым и самодокументируемым. Каждый запуск начинается с одного и того же структурированного ввода, поэтому между аналитиками нет вариативности промпта.

Редактор Quick Flow с шагом ввода, который собирает alert ID и необязательное временное окно у аналитика

Рисунок 8: Редактор Quick Flow: шаг ввода, настроенный на сбор alert ID и необязательного временного окна у аналитика

Reasoning group: Расследуйте оповещение через MCP

Добавьте reasoning group, который содержит branching logic для расследования оповещения. В этом примере reasoning group используется, чтобы flow мог поддерживать условные пути triage, например эскалацию CRITICAL-оповещения на немедленный review со стороны BSA Officer, усиленную проверку для HIGH_RISK_GEO-оповещения или рекомендацию на escalation, если найдены prior SARs. Если ваш workflow всегда запускает одно и то же действие aml_triage без условного ветвления, можно собрать flow и без reasoning group, разместив Snowflake MCP application action сразу после шага ввода.

Редактор Quick Flow с добавленным узлом reasoning group и настроенной логикой расследования

Рисунок 9: Редактор Quick Flow: добавьте reasoning group с логикой расследования

Внутри reasoning group добавьте шаг Application actions и выберите MCP-интеграцию Snowflake, созданную на шаге 7. Выберите действие aml_triage. Задайте prompt-инструкцию для шага действия:

Investigate alert {alert_id} using the AML triage agent.
Pull the customer profile, summarize the flagged transaction
pattern, check for prior alerts and SARs, retrieve relevant
BSA/AML policy sections, and produce a structured investigation
brief with a risk score and disposition recommendation.
Use the eight-section output format: Alert Summary, Transaction
Pattern, Customer Profile, Prior History, Policy Reference,
Risk Assessment, Disposition Recommendation, Draft Narrative.
Редактор Quick Flow с reasoning group и MCP action step, вызывающим инструмент aml_triage из интеграции Snowflake

Рисунок 10: Редактор Quick Flow: reasoning group с MCP action step, вызывающим инструмент aml_triage из интеграции Snowflake

Значение переменной {alert_id} по умолчанию автоматически подставляется из шага ввода, хотя вы можете изменить его вручную. Reasoning group может включать дополнительную branching logic на естественном языке для обработки разных сценариев оповещений.

Для оповещения с уровнем CRITICAL reasoning group инструктирует agent проверить списки санкций и пометить кейс для немедленного review BSA Officer. Когда категория оповещения — HIGH_RISK_GEO, agent сопоставляет страны получателя с текущим списком FATF high-risk jurisdictions и получает guidance по OFAC screening. Если у клиента есть prior SARs, agent извлекает narrative предыдущего расследования и рекомендует escalation вместо закрытия.

Шаг вывода: Представьте investigation brief

Добавьте шаг Output, который форматирует и показывает investigation brief аналитикам. Вывод включает все восемь разделов из ответа Cortex Agent. Аналитик может изучить brief, а поскольку Quick Flows поддерживает agentic runtime, он может общаться с flow и уточнять результат.

Редактор Quick Flow с шагом вывода, который отображает форматированный investigation brief со всеми восемью разделами

Рисунок 11: Редактор Quick Flow: шаг вывода с форматированным investigation brief из всех восьми разделов

Шаг 9: Опубликуйте и поделитесь flow

После тестирования flow выберите Share and Publish, чтобы сделать его доступным в библиотеке flow. Затем поделитесь им с командой комплаенса.

Диалог Share and Publish в Amazon Quick для flow AML Alert Triage

Рисунок 12: Поделитесь и опубликуйте свой Quick flow

Аналитики могут открыть flow из библиотеки или вызвать его из интерфейса чата Amazon Quick. Каждый аналитик запускает один и тот же структурированный workflow triage, получая согласованные, готовые для аудита investigation briefs независимо от опыта в prompt engineering.

Шаг 10: Протестируйте workflow

Откройте AML Alert Triage Flow и запустите его на тестовом оповещении. Введите alert ID, нажмите кнопку Start и дайте flow выполниться. Flow вызывает Snowflake Cortex Agent через MCP. Agent внутри оркестрирует Cortex Analyst и Cortex Search, а затем возвращает структурированный investigation brief.

Форма AML Alert Triage Flow с примером alert ID и выделенной кнопкой Start

Рисунок 13: Тестирование Quick flow

Результат AML Triage Quick Flow, показывающий eight-section investigation brief для тестового оповещения

Рисунок 14: Результат, созданный AML Triage Quick Flow

После просмотра brief аналитик может воспользоваться интерфейсом чата, чтобы задать уточняющие вопросы и доработать результат перед финализацией. Протестируйте интерфейс с примерами вопросов, например:

  • «В каком списке FATF находятся эти страны: требуется действие или усиленный мониторинг?»
  • «Что показало предыдущее расследование по этому клиенту?»
Интерфейс чата Quick Flow с ответами на уточняющие вопросы о статусе стран в списке FATF и выводах предыдущего расследования

Рисунок 15: Ответ Quick flow на уточняющие вопросы

Соображения по безопасности и управлению

Перед тем как делиться flow с командой комплаенса, стоит учесть несколько вопросов безопасности и governance.

С точки зрения контроля доступа MCP-интеграция работает с правами OAuth-аутентифицированной роли (AML_MCP_ROLE). Ограничьте эту роль минимально необходимыми привилегиями USAGE и SELECT на MCP server, agent, semantic view и search service и не выдавайте SYSADMIN или ACCOUNTADMIN.

Cortex AI обрабатывает данные внутри границы безопасности Snowflake, то есть ваши данные не покидают аккаунт Snowflake. Убедитесь, что регион Snowflake соответствует требованиям вашей организации по локализации данных для регулируемой финансовой информации.

Во многих юрисдикциях данные AML-расследований подпадают под ограничения tipping-off. Делитесь Quick Flow только с уполномоченными сотрудниками комплаенса и не публикуйте его в общедоступных библиотеках flow организации и не открывайте для customer-facing ролей.

С точки зрения аудита Amazon Quick ведет журналы вызовов MCP-инструментов и выполнения flow, а представления Snowflake ACCESS_HISTORY и ACCOUNT_USAGE логируют каждый запрос, выполненный Cortex Agent. Вместе это дает audit trail расследования для проверки инспекторами, где каждый запуск flow — отдельное отслеживаемое событие.

Flow создает черновик investigation brief и recommendation по disposition, но human compliance analyst должен проверить и утвердить каждую подачу SAR или закрытие кейса. Flow — это ускоритель расследования, а не автоматический принимающий решения механизм.

Документируйте, какую LLM-модель использует Cortex Agent, ведите ее в inventory моделей и включите в framework управления рисками AI/ML в соответствии с SR 11-7 / OCC 2011-12.

Периодически ротируйте OAuth-учетные данные Snowflake в соответствии с политикой вашей организации по ротации ключей и устанавливайте срок действия refresh token как можно короче, но достаточный для рабочих потребностей.

По мере изменения методологии расследований обновляйте flow и публикуйте его заново. Quick Flows поддерживает итеративное улучшение, а аналитики автоматически получают последнюю версию.

Почему Quick Flows лучше chat agent

Quick Flows каждый раз заставляет выполнять одни и те же шаги расследования. В этом и состоит ключевое решение, лежащее в основе этого сценария. Там, где chat agent лишь в общих чертах следует инструкциям и выдает разный результат в зависимости от того, как именно аналитик сформулировал запрос, flow обеспечивает детерминированный результат: каждое оповещение проходит одинаковый структурированный ввод, одинаковую логику рассуждения и одинаковый форматированный вывод, независимо от того, кто запускает процесс.

Именно эта последовательность делает investigation brief изначально готовым к аудиту. Каждый запуск flow — отдельное логируемое событие. Условное ветвление в reasoning group, которое направляет CRITICAL-оповещения через усиленные шаги и автоматически эскалирует кейсы с prior SAR, реализует логику, которую chat agent не может надежно повторить. Для разовых вопросов вне triage-workflow та же MCP-интеграция Snowflake работает не хуже с chat agent в Quick. Quick Flows и chat agents опираются на одну и ту же основу. Это просто разные интерфейсы для разных задач.

Очистка ресурсов

Если вы собрали это решение как прототип, удалите следующие ресурсы, чтобы избежать постоянного риска и затрат:

  1. В Amazon Quick удалите или снимите с публикации flow AML Alert Triage.
  2. В Amazon Quick удалите интеграцию с Snowflake MCP Server.
  3. В Snowflake удалите объект MCP SERVER, если больше не нужно публиковать инструменты наружу.
  4. В Snowflake отключите или удалите SECURITY INTEGRATION, использованную для OAuth.
  5. В Snowflake удалите Cortex Agent, Cortex Search service и тестовые таблицы, если вы выводите workflow из эксплуатации.

Заключение

В этом материале мы показали, как построить ежедневный workflow для AML-триажа с помощью Amazon Quick Flows, который подключается к Snowflake Cortex Agent через Snowflake-managed MCP server. Из структурированного шага ввода flow через MCP вызывает Cortex Agent, чтобы тот оркестрировал Cortex Analyst для структурированных данных о транзакциях и клиентах и Cortex Search для BSA/AML policy и заметок по прошлым расследованиям, а затем представляет полный investigation brief с risk score и recommendation по disposition.

В отличие от chat agents, где вывод меняется в зависимости от формулировки запроса, Quick Flows обеспечивает предсказуемые, повторяемые последовательности с встроенной валидацией входных данных, логикой рассуждения и форматированным выводом. Это позволяет аналитикам выполнять стабильный, качественный triage без необходимости осваивать prompt engineering и распространять workflow на целые команды в один клик. Каждый аналитик выполняет один и тот же структурированный triage. Формат вывода предсказуем, а каждый запуск — отдельное, отслеживаемое событие для аудита. При этом agentic runtime в Quick Flows позволяет аналитикам общаться с workflow, уточнять результат и задавать follow-up вопросы, сочетая строгость структурированного процесса с гибкостью conversational-интерфейса.

Ключевой шаблон здесь — публиковать Cortex Agent как MCP tool через Snowflake-managed MCP server и подключать его из Amazon Quick с OAuth. Та же MCP-интеграция работает в Quick Flows, chat agents и Amazon Quick Automate, так что можно начать со структурированного flow для ежедневного triage и затем расширить его до ad-hoc chat agents или enterprise-scale automation по мере роста потребностей.

Чтобы начать, см. Using Amazon Quick Flows, MCP integration, Snowflake-managed MCP server и Amazon Quick User Guide. Дополнительную информацию о функциях и возможностях Amazon Quick смотрите в документации Amazon Quick и в сообществе Amazon Quick.


Материал — перевод статьи с английского.

Оригинал: Automate AML alert triage with Amazon Quick and Snowflake Cortex AI