Riepilogo Prerequisiti e limitazioni Architettura Strumenti Best practice Epiche Risoluzione dei problemi Risorse correlate

Semplifica la gestione EC2 della conformità di Amazon con agenti Amazon Bedrock e AWS Config

Anand Bukkapatnam Tirumala, Amazon Web Services

Riepilogo

Questo modello descrive come integrare Amazon Bedrock con AWS Config regole per facilitare la gestione della conformità per le istanze di Amazon Elastic Compute Cloud EC2 (Amazon). L'approccio utilizza funzionalità di intelligenza artificiale generativa avanzate per fornire consigli personalizzati in linea con il AWS Well-Architected Framework, per garantire una selezione ottimale del tipo di istanza e l'efficienza del sistema. Le caratteristiche principali di questo modello includono:

Monitoraggio automatizzato della conformità: AWS Config le regole valutano continuamente le EC2 istanze in base a criteri predefiniti per i tipi di istanze desiderati.
Consigli basati sull'intelligenza artificiale: i modelli di intelligenza artificiale generativa di Amazon Bedrock analizzano i modelli di infrastruttura. Questi modelli forniscono suggerimenti intelligenti per miglioramenti basati sulle migliori pratiche descritte nel AWS Well-Architected Framework.
Correzione: i gruppi di azione di Amazon Bedrock abilitano procedure di riparazione automatizzate per risolvere rapidamente le istanze non conformi e ridurre al minimo le potenziali inefficienze in termini di prestazioni o costi.
Scalabilità e adattabilità: la soluzione è progettata per adattarsi alla tua infrastruttura e adattarsi alle esigenze in evoluzione dell'architettura cloud.
Raccomandazioni di sicurezza avanzate: la conformità ai principi AWS Well-Architected contribuisce a migliorare il livello di sicurezza e le prestazioni del sistema.

È possibile utilizzare questo modello come modello per implementare la propria infrastruttura generativa basata sull'intelligenza artificiale in più ambienti con modifiche minime, utilizzando le procedure necessarie. DevOps

Prerequisiti e limitazioni

Prerequisiti

Un attivo. Account AWS
Un ruolo AWS Identity and Access Management (IAM) con autorizzazioni per creare e gestire risorse nei bucket e nelle AWS Config funzioni di Amazon Simple Storage Service (Amazon S3), Amazon Bedrock AWS Lambda , IAM, Amazon Logs e Amazon. CloudWatch EC2
Un' EC2 istanza da contrassegnare come non conforme. Non utilizzate il t2.small tipo per questa istanza.
Modelli Amazon Titan Text Embeddings V2 e Anthropic Claude 3 Haiku abilitati nel tuo. Account AWS Per abilitare l'accesso ai modelli per il Regione AWS luogo in cui stai distribuendo la soluzione, consulta Aggiungere o rimuovere l'accesso ai modelli Amazon Bedrock Foundation nella documentazione di Amazon Bedrock.
Terraform, installato e configurato.
La AWS Command Line Interface (AWS CLI) v2 installata e configurata nell'ambiente di distribuzione.
Revisione completata della politica di Amazon Responsible AI.

Limitazioni

Alcune Servizi AWS non sono disponibili in tutte Regioni AWS. Per la disponibilità per regione, vedi Servizi AWS per regione. Per endpoint specifici, consulta Endpoints and quotas del servizio e scegli il link relativo al servizio.
Questa soluzione è stata testata utilizzando i modelli Amazon Titan Text Embeddings V2 e Claude 3 Haiku. Se preferisci utilizzare altri modelli, puoi personalizzare il codice Terraform, che è parametrizzato per facilitare le modifiche.
Questa soluzione non include una funzionalità di cronologia chat e la chat non viene archiviata.

Architettura

Il diagramma seguente mostra i componenti del flusso di lavoro e dell'architettura per questo modello.

Il flusso di lavoro è composto dai seguenti passaggi:

L'utente interagisce con il modello tramite la console di chat Amazon Bedrock. L'utente pone domande come:
- What can you help me with?
- List non-complaint resources
- Suggest security best practices
Se il modello è preaddestrato, risponde alle richieste direttamente in base alle conoscenze esistenti. In caso contrario, il prompt viene inviato al gruppo di azione Amazon Bedrock.
Il gruppo di azione raggiunge gli endpoint VPC utilizzando AWS PrivateLinkper una comunicazione di servizio sicura.
La richiesta raggiunge la funzione Lambda tramite gli endpoint VPC per i servizi Amazon Bedrock.
La funzione Lambda è il motore di esecuzione principale. In base alla richiesta, la funzione chiama l'API per eseguire azioni su. Servizi AWS Gestisce inoltre il routing e l'esecuzione delle operazioni.
La funzione Lambda chiama AWS Config per determinare le risorse non conformi (l' EC2 istanza non conforme che hai creato come prerequisito).
AWS Config contrassegna la risorsa che non presenta reclami. Questo modello utilizza la AWS Config desired-instance-typeregola per trovare la dimensione ideale EC2 dell'istanza.
AWS Config richiede all'utente di sospendere o ripristinare l'istanza e interviene di conseguenza sull'istanza. EC2 Amazon Bedrock comprende questo payload di reso.
L'utente riceve una risposta sulla console di chat di Amazon Bedrock.

Automazione e scalabilità

Questa soluzione utilizza Terraform come strumento Infrastructure as Code (IaC) per consentire una facile implementazione Account AWS e funzionare come utilità autonoma su più account. Questo approccio semplifica la gestione e migliora la coerenza nelle implementazioni.

Strumenti

Servizi AWS

AWS Configconsente di valutare, controllare e valutare le configurazioni delle AWS risorse per quanto riguarda la conformità e le impostazioni desiderate.
Amazon Bedrock è un servizio di intelligenza artificiale completamente gestito che fornisce l'accesso a molti modelli di base ad alte prestazioni tramite un'API unificata.
AWS Identity and Access Management (IAM) ti aiuta a gestire in modo sicuro l'accesso alle tue risorse AWS controllando chi è autenticato e autorizzato a utilizzarle.
AWS Lambda è un servizio di calcolo che consente di eseguire il codice senza gestire i server o effettuarne il provisioning. Esegue il codice solo quando necessario e si ridimensiona automaticamente, quindi paghi solo per il tempo di elaborazione che utilizzi.

Altri strumenti

Git è un sistema di controllo delle versioni distribuito e open source.
Terraform è uno strumento Infrastructure as Code (IaC) HashiCorp che ti aiuta a creare e gestire risorse cloud e locali.

Archivio di codici

Il codice per questo pattern è disponibile nel repository GitHub sample-awsconfig-bedrock-compliance-manager.

Best practice

Segui il principio del privilegio minimo e concedi le autorizzazioni minime richieste per eseguire un'attività. Per ulteriori informazioni, consulta le best practice e i casi d'uso relativi alla concessione dei privilegi minimi e alla sicurezza nella documentazione IAM.
Monitora regolarmente i log di esecuzione di Lambda. Per ulteriori informazioni, consulta Monitoraggio, debug e risoluzione dei problemi delle funzioni Lambda e Best practice per l'utilizzo delle funzioni AWS Lambda nella documentazione di Lambda.

Epiche

Attività Descrizione Competenze richieste

Attività	Descrizione	Competenze richieste
Clonare il repository.	Per clonare il repository per questo pattern, utilizzate il seguente comando: `git clone "git@github.com:aws-samples/sample-awsconfig-bedrock-compliance-manager.git"`	AWS DevOps, responsabile di sviluppo, DevOps ingegnere, amministratore cloud
Modifica le variabili di ambiente.	Nella directory principale del repository clonato sul computer locale, modifica il file. `terraform.tfvars` Esamina i segnaposti contrassegnati con e modificali in `[XXXXX]` base al tuo ambiente.	Amministratore di sistema AWS, AWS DevOps, DevOps ingegnere, amministratore AWS
Crea l'infrastruttura.	Per creare l'infrastruttura per questa soluzione, esegui i seguenti comandi: `terraform init terraform plan` Esamina il piano di esecuzione, quindi esegui il comando: `terraform apply --auto-approve`	AWS DevOps, DevOps ingegnere, amministratore di sistema AWS, amministratore cloud

Clonare il repository.

Per clonare il repository per questo pattern, utilizzate il seguente comando:


git clone "git@github.com:aws-samples/sample-awsconfig-bedrock-compliance-manager.git"

AWS DevOps, responsabile di sviluppo, DevOps ingegnere, amministratore cloud

Modifica le variabili di ambiente.

Nella directory principale del repository clonato sul computer locale, modifica il file. terraform.tfvars Esamina i segnaposti contrassegnati con e modificali in [XXXXX] base al tuo ambiente.

Amministratore di sistema AWS, AWS DevOps, DevOps ingegnere, amministratore AWS

Crea l'infrastruttura.

Per creare l'infrastruttura per questa soluzione, esegui i seguenti comandi:
```
terraform init
terraform plan
```
Esamina il piano di esecuzione, quindi esegui il comando:
```
terraform apply --auto-approve
```

AWS DevOps, DevOps ingegnere, amministratore di sistema AWS, amministratore cloud

Attività Descrizione Competenze richieste

Attività	Descrizione	Competenze richieste
Chatta con l'agente.	L'implementazione della soluzione nella fase precedente prevede l'implementazione di `security-bot-agent` un agente Amazon Bedrock con una console di chat. Per utilizzare l'agente: Accedi a AWS Management Console con un'identità IAM che dispone delle autorizzazioni per utilizzare la console Amazon Bedrock. Quindi, apri la console Amazon Bedrock. Nel riquadro di navigazione, scegli Build, Agents. Seleziona security-bot-agent. Inizia a conversare con l'agente. Per esempio: `List non-complaint EC2 instances` e: `Replace these non-complaint EC2 instances with compliant instances`	AWS DevOps, DevOps ingegnere, amministratore di sistema AWS, amministratore cloud

Chatta con l'agente.

L'implementazione della soluzione nella fase precedente prevede l'implementazione di security-bot-agent un agente Amazon Bedrock con una console di chat.

Per utilizzare l'agente:

Accedi a AWS Management Console con un'identità IAM che dispone delle autorizzazioni per utilizzare la console Amazon Bedrock. Quindi, apri la console Amazon Bedrock.
Nel riquadro di navigazione, scegli Build, Agents. Seleziona security-bot-agent.

Inizia a conversare con l'agente. Per esempio:


List non-complaint EC2 instances


Replace these non-complaint EC2 instances with compliant instances

AWS DevOps, DevOps ingegnere, amministratore di sistema AWS, amministratore cloud

Attività Descrizione Competenze richieste

Attività	Descrizione	Competenze richieste
Eliminare l'infrastruttura e le risorse.	Una volta completato il lavoro con questa soluzione, puoi eliminare l'infrastruttura creata da questo schema eseguendo il comando: `terraform destroy --auto-approve`	AWS DevOps, DevOps ingegnere, amministratore di sistema AWS, amministratore cloud

Eliminare l'infrastruttura e le risorse.

Una volta completato il lavoro con questa soluzione, puoi eliminare l'infrastruttura creata da questo schema eseguendo il comando:


terraform destroy --auto-approve

AWS DevOps, DevOps ingegnere, amministratore di sistema AWS, amministratore cloud

Risoluzione dei problemi

Problema	Soluzione
Problemi di comportamento degli agenti	Per informazioni sulla risoluzione dei problemi, consulta Test e risoluzione dei problemi del comportamento degli agenti nella documentazione di Amazon Bedrock.
AWS Lambda problemi di rete	Per ulteriori informazioni, consulta Risoluzione dei problemi di rete in Lambda nella documentazione di Lambda.
Autorizzazioni IAM	Per ulteriori informazioni, consulta Risoluzione dei problemi di IAM nella documentazione IAM.

Risorse correlate

Agenti Amazon Bedrock
Utilizza i gruppi di azioni per definire le azioni che il tuo agente deve eseguire (documentazione Amazon Bedrock)
desired-instance-type regola (AWS Config documentazione)
Come AWS Config funziona (AWS Config documentazione)

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Semplifica la gestione privata dei certificati utilizzando AWS Private CA e AWS RAM

Disattiva i controlli standard di sicurezza negli account dei membri di Security Hub