翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Bedrock エージェントと を使用して Amazon EC2 コンプライアンス管理を合理化する AWS Config
Anand Bukkapatnam Tirumala、Amazon Web Services
概要
このパターンでは、Amazon Bedrock を AWS Config ルールと統合して、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのコンプライアンス管理を容易にする方法について説明します。このアプローチでは、高度な生成 AI 機能を使用して WellAWS -Architected フレームワークに沿ったカスタマイズされた推奨事項を提供し、最適なインスタンスタイプの選択とシステム効率を確保します。このパターンの主な特徴は次のとおりです。
自動コンプライアンスモニタリング: AWS Config ルールは、必要なインスタンスタイプの事前定義された基準に照らして EC2 インスタンスを継続的に評価します。
AI 主導の推奨事項: Amazon Bedrock の生成 AI モデルはインフラストラクチャパターンを分析します。これらのモデルは、 AWS Well-Architected フレームワークで概説されているベストプラクティスに基づいて、改善のためのインテリジェントな提案を提供します。
修復: Amazon Bedrock アクショングループを使用すると、自動修復ステップにより、非準拠インスタンスに迅速に対処し、潜在的なパフォーマンスやコストの非効率性を最小限に抑えることができます。
スケーラビリティと適応性: このソリューションは、インフラストラクチャに合わせてスケールし、進化するクラウドアーキテクチャのニーズに適応するように設計されています。
セキュリティに関する推奨事項の強化: AWS Well-Architected の原則への準拠は、セキュリティ体制とシステムパフォーマンスの向上に役立ちます。
このパターンをブループリントとして使用して、DevOps DevOps プラクティスを必要に応じて使用して、最小限の変更で独自の生成 AI ベースのインフラストラクチャを複数の環境にデプロイできます。
前提条件と制限
前提条件
アクティブ AWS アカウント。
Amazon Simple Storage Service (Amazon S3) バケット、 AWS Lambda 関数、Amazon Bedrock AWS Config、 AWS Identity and Access Management IAM、Amazon CloudWatch Logs、Amazon EC2 でリソースを作成および管理するためのアクセス許可を持つ (IAM) ロール。
非準拠としてフラグを付ける EC2 インスタンス。このインスタンスには
t2.smallタイプを使用しないでください。で有効になっている Amazon Titan Text Embeddings V2 および Anthropic Claude 3 Haiku モデル AWS アカウント。ソリューションをデプロイ AWS リージョン する のモデルアクセスを有効にするには、Amazon Bedrock ドキュメントの「Amazon Bedrock 基盤モデルへのアクセスを追加または削除する」を参照してください。
Terraform
、インストールおよび設定済み。 デプロイ環境にインストールおよび設定された AWS Command Line Interface (AWS CLI) v2。
Amazon Responsible AI ポリシー
のレビューが完了しました。
機能制限
一部の AWS のサービス は では使用できません AWS リージョン。リージョンの可用性については、AWS のサービス 「リージョン別
」を参照してください。特定のエンドポイントについては、「サービスエンドポイントとクォータ」を参照して、サービスのリンクを選択します。 このソリューションは、Amazon Titan Text Embeddings V2 および Claude 3 Haiku モデルを使用してテストされています。他のモデルを使用する場合は、簡単に変更できるようにパラメータ化された Terraform コードをカスタマイズできます。
このソリューションにはチャット履歴機能はなく、チャットは保存されません。
アーキテクチャ
次の図表は、このパターンのアプリケーションのワークフローとアーキテクチャコンポーネントを示しています。
ワークフローは、以下のステップで構成されます。
ユーザーは Amazon Bedrock チャットコンソールを介してモデルを操作します。ユーザーは次のような質問をします。
What can you help me with?List non-complaint resourcesSuggest security best practices
モデルが事前トレーニングされている場合、既存の知識から直接プロンプトに応答します。それ以外の場合、プロンプトは Amazon Bedrock アクショングループに移動します。
アクショングループは、安全なサービス通信AWS PrivateLink
に を使用して VPC エンドポイントに到達します。 リクエストは、Amazon Bedrock サービスの VPC エンドポイントを介して Lambda 関数に到達します。
Lambda 関数は、プライマリ実行エンジンです。リクエストに基づいて、関数は API を呼び出して に対してアクションを実行します AWS のサービス。また、オペレーションのルーティングと実行も処理します。
Lambda 関数は AWS Config を呼び出して、非苦情リソース (前提条件として作成した非準拠の EC2 インスタンス) を決定します。
AWS Config は、苦情以外のリソースにフラグを付けます。このパターンは、理想的な EC2 AWS Config desired-instance-typeルールをデプロイします。
AWS Config は、インスタンスを一時停止または修復するようにユーザーに促し、EC2 インスタンスに対してそれに応じてアクションを実行します。Amazon Bedrock はこの戻りペイロードを理解しています。
ユーザーは Amazon Bedrock チャットコンソールでレスポンスを受け取ります。
自動化とスケール
このソリューションでは、Terraform をコードとしてのインフラストラクチャ (IaC) ツールとして使用して、 への簡単なデプロイ AWS アカウント を可能にし、複数のアカウントにわたるスタンドアロンユーティリティとして機能します。このアプローチにより、管理が簡素化され、デプロイの一貫性が向上します。
ツール
AWS のサービス
AWS Config を使用すると、コンプライアンスと必要な設定について、 AWS リソースの設定を評価、監査、評価できます。
Amazon Bedrock は、統合 API を通じて多くの高性能基盤モデルへのアクセスを提供するフルマネージド AI サービスです。
AWS Identity and Access Management (IAM) は、AWS リソースの使用を認証および認可されたユーザーを制御することで、AWS リソースへのアクセスを安全に管理するのに役立ちます。
AWS Lambda は、サーバーのプロビジョニングや管理を行うことなくコードを実行できるコンピューティングサービスです。必要に応じてコードを実行し、自動的にスケーリングするため、課金は実際に使用したコンピューティング時間に対してのみ発生します。
その他のツール
コードリポジトリ
このパターンのコードは、GitHub sample-awsconfig-bedrock-compliance-manager
ベストプラクティス
最小特権の原則に従い、タスクの実行に必要な最小限のアクセス許可を付与します。詳細については、IAM ドキュメントの「最小特権の付与」および「セキュリティのベストプラクティスとユースケース」を参照してください。
Lambda 実行ログを定期的にモニタリングします。詳細については、Lambda ドキュメントの「Lambda 関数のモニタリング、デバッグ、トラブルシューティング」およびAWS Lambda 「関数の使用に関するベストプラクティス」を参照してください。
エピック
| タスク | 説明 | 必要なスキル |
|---|---|---|
リポジトリをクローン作成します。 | このパターンのリポジトリのクローンを作成するには、次のコマンドを使用します。
| AWS DevOps、ビルドリード、DevOps エンジニア、クラウド管理者 |
環境変数を編集します。 | ローカルマシンのクローンされたリポジトリのルートディレクトリで、 | AWS システム管理者、AWS DevOps、DevOps エンジニア、AWS 管理者 |
インフラストラクチャを作成します。 |
| AWS DevOps、DevOps エンジニア、AWS システム管理者、クラウド管理者 |
| タスク | 説明 | 必要なスキル |
|---|---|---|
エージェントとチャットします。 | 前のステップでソリューションをデプロイすると エージェントを使用するには:
| AWS DevOps、DevOps エンジニア、AWS システム管理者、クラウド管理者 |
| タスク | 説明 | 必要なスキル |
|---|---|---|
インフラストラクチャとリソースを削除します。 | このソリューションでの作業が完了したら、 コマンドを実行して、このパターンによって作成されたインフラストラクチャを削除できます。
| AWS DevOps、DevOps エンジニア、AWS システム管理者、クラウド管理者 |
トラブルシューティング
| 問題 | ソリューション |
|---|---|
エージェントの動作の問題 | トラブルシューティングの詳細については、Amazon Bedrock ドキュメントの「エージェントの動作のテストとトラブルシューティング」を参照してください。 |
AWS Lambda ネットワークの問題 | 詳細については、Lambda ドキュメントの「Lambda でのネットワーク問題のトラブルシューティング」を参照してください。 |
IAM 許可 | 詳細については、IAM ドキュメントの「IAM のトラブルシューティング」を参照してください。 |
関連リソース
アクショングループを使用して、エージェントが実行するアクションを定義する (Amazon Bedrock ドキュメント)
desired-instance-type ルール (AWS Config ドキュメント)
AWS Config の仕組み (AWS Config ドキュメント)
