Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Simplifiez EC2 la gestion de la conformité Amazon avec les agents Amazon Bedrock et AWS Config
Anand Bukkapatnam Tirumala, Amazon Web Services
Récapitulatif
Ce modèle décrit comment intégrer Amazon Bedrock à des AWS Config règles afin de faciliter la gestion de la conformité pour les instances Amazon Elastic Compute Cloud (Amazon EC2). L'approche utilise des fonctionnalités avancées d'IA générative pour fournir des recommandations personnalisées conformes au AWS Well-Architected Framework, afin de garantir une sélection optimale du type d'instance et l'efficacité du système. Les principales caractéristiques de ce modèle sont les suivantes :
Surveillance automatisée de la conformité : AWS Config les règles évaluent en permanence les EC2 instances par rapport à des critères prédéfinis pour les types d'instances souhaités.
Recommandations basées sur l'IA : les modèles d'IA générative d'Amazon Bedrock analysent les modèles d'infrastructure. Ces modèles fournissent des suggestions intelligentes d'améliorations basées sur les meilleures pratiques décrites dans le AWS Well-Architected Framework.
Correction : les groupes d'action Amazon Bedrock permettent des étapes de correction automatisées pour traiter rapidement les cas non conformes et minimiser les performances potentielles ou les inefficiences en termes de coûts.
Évolutivité et adaptabilité : la solution est conçue pour évoluer avec votre infrastructure et s'adapter à l'évolution de vos besoins en matière d'architecture cloud.
Recommandations de sécurité renforcées : La conformité aux principes de AWS Well-Architected contribue à améliorer la posture de sécurité et les performances du système.
Vous pouvez utiliser ce modèle comme modèle pour déployer votre propre infrastructure générative basée sur l'IA dans plusieurs environnements avec un minimum de modifications, en utilisant DevOps les pratiques nécessaires.
Conditions préalables et limitations
Prérequis
Un actif Compte AWS.
Rôle AWS Identity and Access Management (IAM) autorisé à créer et à gérer des ressources dans les compartiments Amazon Simple Storage Service (Amazon S3), les AWS Lambda fonctions AWS Config, Amazon Bedrock, IAM, Amazon Logs et Amazon CloudWatch . EC2
Une EC2 instance à signaler comme non conforme. N'utilisez pas le
t2.smalltype pour cette instance.Les modèles Amazon Titan Text Embeddings V2 et Anthropic Claude 3 Haiku sont activés dans votre. Compte AWS Pour activer l'accès aux modèles Région AWS là où vous déployez la solution, consultez la section Ajouter ou supprimer l'accès aux modèles de fondation Amazon Bedrock dans la documentation Amazon Bedrock.
Terraform
, installé et configuré. La AWS Command Line Interface (AWS CLI) v2 est installée et configurée dans l'environnement de déploiement.
Révision de la politique Amazon Responsible AI
terminée.
Limites
Certains Services AWS ne sont pas disponibles du tout Régions AWS. Pour connaître la disponibilité par région, voir Services AWS par région
. Pour des points de terminaison spécifiques, consultez Points de terminaison de service et quotas, puis choisissez le lien correspondant au service. Cette solution a été testée à l'aide des modèles Amazon Titan Text Embeddings V2 et Claude 3 Haiku. Si vous préférez utiliser d'autres modèles, vous pouvez personnaliser le code Terraform, qui est paramétré pour faciliter les modifications.
Cette solution n'inclut pas de fonctionnalité d'historique des discussions, et la discussion n'est pas stockée.
Architecture
Le schéma suivant montre les composants du flux de travail et de l'architecture de ce modèle.
Le flux de travail comprend les étapes suivantes :
L'utilisateur interagit avec le modèle via la console de chat Amazon Bedrock. L'utilisateur pose des questions telles que :
What can you help me with?List non-complaint resourcesSuggest security best practices
Si le modèle est préentraîné, il répond aux instructions directement à partir de ses connaissances existantes. Dans le cas contraire, l'invite est envoyée au groupe d'action Amazon Bedrock.
Le groupe d'actions atteint les points de terminaison du VPC à l'aide d'une communication AWS PrivateLink
de service sécurisée. La demande atteint la fonction Lambda via les points de terminaison VPC des services Amazon Bedrock.
La fonction Lambda est le principal moteur d'exécution. Sur la base de la demande, la fonction appelle l'API pour effectuer des actions sur le Services AWS. Il gère également le routage et l'exécution des opérations.
La fonction Lambda appelle AWS Config pour déterminer les ressources non conformes (l' EC2 instance non conforme que vous avez créée comme condition préalable).
AWS Config signale la ressource qui ne porte pas sur les plaintes. Ce modèle déploie la AWS Config desired-instance-typerègle pour trouver la taille d' EC2 instance idéale.
AWS Config invite l'utilisateur à suspendre ou à corriger l'instance, et prend les mesures appropriées sur l' EC2 instance. Amazon Bedrock comprend cette charge utile de retour.
L'utilisateur reçoit une réponse sur la console de chat Amazon Bedrock.
Automatisation et mise à l'échelle
Cette solution utilise Terraform comme outil d'infrastructure en tant que code (IaC) pour permettre un déploiement facile Comptes AWS et fonctionner comme un utilitaire autonome sur plusieurs comptes. Cette approche simplifie la gestion et améliore la cohérence des déploiements.
Outils
Services AWS
AWS Configvous permet d'évaluer, d'auditer et d'évaluer les configurations de vos AWS ressources pour vérifier leur conformité et les paramètres souhaités.
Amazon Bedrock est un service d'IA entièrement géré qui donne accès à de nombreux modèles de base très performants via une API unifiée.
AWS Identity and Access Management (IAM) vous aide à gérer en toute sécurité l'accès à vos ressources AWS en contrôlant qui est authentifié et autorisé à les utiliser.
AWS Lambda est un service de calcul qui vous aide à exécuter du code sans avoir à allouer ni à gérer des serveurs. Il exécute votre code uniquement lorsque cela est nécessaire et évolue automatiquement, de sorte que vous ne payez que pour le temps de calcul que vous utilisez.
Autres outils
Référentiel de code
Le code de ce modèle est disponible dans le référentiel GitHub sample-awsconfig-bedrock-compliance-manager
Bonnes pratiques
Respectez le principe du moindre privilège et accordez les autorisations minimales requises pour effectuer une tâche. Pour plus d'informations, consultez les sections Accorder le moindre privilège et Bonnes pratiques et cas d'utilisation en matière de sécurité dans la documentation IAM.
Surveillez régulièrement les journaux d'exécution Lambda. Pour plus d'informations, consultez les sections Surveillance, débogage et résolution des problèmes des fonctions Lambda et Bonnes pratiques d'utilisation des fonctions dans la AWS Lambda documentation Lambda.
Épopées
| Tâche | Description | Compétences requises |
|---|---|---|
Pour cloner le référentiel. | Pour cloner le référentiel selon ce modèle, utilisez la commande suivante :
| AWS DevOps, responsable du développement, DevOps ingénieur, administrateur du cloud |
Modifiez les variables d'environnement. | Dans le répertoire racine du dépôt cloné sur votre machine locale, modifiez le | Administrateur système AWS, AWS DevOps, DevOps ingénieur, administrateur AWS |
Créez l'infrastructure. |
| AWS DevOps, DevOps ingénieur, administrateur système AWS, administrateur cloud |
| Tâche | Description | Compétences requises |
|---|---|---|
Discutez avec l'agent. | Le déploiement de la solution à l'étape précédente consiste à déployer Pour utiliser l'agent :
| AWS DevOps, DevOps ingénieur, administrateur système AWS, administrateur cloud |
| Tâche | Description | Compétences requises |
|---|---|---|
Supprimez l'infrastructure et les ressources. | Lorsque vous avez terminé de travailler avec cette solution, vous pouvez supprimer l'infrastructure créée par ce modèle en exécutant la commande suivante :
| AWS DevOps, DevOps ingénieur, administrateur système AWS, administrateur cloud |
Résolution des problèmes
| Problème | Solution |
|---|---|
Problèmes de comportement des agents | Pour obtenir des informations de résolution des problèmes, consultez la section Tester et résoudre les problèmes du comportement des agents dans la documentation Amazon Bedrock. |
AWS Lambda problèmes de réseau | Pour plus d'informations, consultez Résoudre les problèmes de réseau dans Lambda dans la documentation Lambda. |
Autorisations IAM | Pour plus d'informations, consultez la section Résolution des problèmes liés à l'IAM dans la documentation IAM. |
Ressources connexes
Utilisez des groupes d'actions pour définir les actions que votre agent doit effectuer (documentation Amazon Bedrock)
desired-instance-type règle (AWS Config documentation)
Comment AWS Config fonctionne (AWS Config documentation)
