요약 사전 조건 및 제한 사항 아키텍처 도구 모범 사례 에픽 문제 해결 관련 리소스

Amazon Bedrock 에이전트 및를 사용하여 Amazon EC2 규정 준수 관리 간소화 AWS Config

Anand Bukkapatnam Tirumala, Amazon Web Services

요약

이 패턴은 Amazon Bedrock을 AWS Config 규칙과 통합하여 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 규정 준수 관리를 용이하게 하는 방법을 설명합니다. 이 접근 방식은 고급 생성형 AI 기능을 사용하여 AWS Well-Architected 프레임워크에 맞는 맞춤형 권장 사항을 제공하여 최적의 인스턴스 유형 선택 및 시스템 효율성을 보장합니다. 이 패턴의 주요 기능은 다음과 같습니다.

자동화된 규정 준수 모니터링: AWS Config 규칙은 원하는 인스턴스 유형에 대한 사전 정의된 기준에 따라 EC2 인스턴스를 지속적으로 평가합니다.
AI 기반 권장 사항: Amazon Bedrock의 생성형 AI 모델은 인프라 패턴을 분석합니다. 이러한 모델은 AWS Well-Architected Framework에 설명된 모범 사례를 기반으로 개선을 위한 지능적인 제안을 제공합니다.
문제 해결: Amazon Bedrock 작업 그룹을 사용하면 자동화된 문제 해결 단계를 통해 규정 미준수 인스턴스를 신속하게 해결하고 잠재적 성능 또는 비용 비효율성을 최소화할 수 있습니다.
확장성 및 적응성:이 솔루션은 인프라에 맞게 확장되고 진화하는 클라우드 아키텍처 요구 사항에 맞게 조정되도록 설계되었습니다.
향상된 보안 권장 사항: AWS Well-Architected 원칙을 준수하면 보안 태세와 시스템 성능이 향상됩니다.

이 패턴을 블루프린트로 사용하여 필요에 따라 DevOps 사례를 사용하여 최소한의 변경으로 자체 생성형 AI 기반 인프라를 여러 환경에 배포할 수 있습니다.

사전 조건 및 제한 사항

사전 조건

활성. AWS 계정
Amazon Simple Storage Service(Amazon S3) 버킷, AWS Config AWS Lambda 함수, Amazon Bedrock, IAM, Amazon CloudWatch Logs 및 Amazon EC2에서 리소스를 생성하고 관리할 수 있는 권한이 있는 AWS Identity and Access Management (IAM) 역할입니다.
규정을 준수하지 않는 것으로 플래그를 지정할 EC2 인스턴스입니다. 이 인스턴스에t2.small 유형을 사용하지 마십시오.
Amazon Titan Text Embeddings V2 및 Anthropic Claude 3 Haiku 모델은에서 활성화됩니다 AWS 계정. 솔루션을 배포하는 AWS 리전 에 대한 모델 액세스를 활성화하려면 Amazon Bedrock 설명서의 Amazon Bedrock 파운데이션 모델에 대한 액세스 추가 또는 제거를 참조하세요.
Terraform, 설치 및 구성됨.
배포 환경에 설치 및 구성된 AWS Command Line Interface (AWS CLI) v2입니다.
Amazon Responsible AI 정책에 대한 검토를 완료했습니다.

제한 사항

일부 AWS 서비스 는 전혀 사용할 수 없습니다 AWS 리전. 리전 가용성은 AWS 서비스 리전별 섹션을 참조하세요. 특정 엔드포인트는 서비스 엔드포인트 및 할당량을 참조하고 서비스 링크를 선택합니다.
이 솔루션은 Amazon Titan Text Embeddings V2 및 Claude 3 Haiku 모델을 사용하여 테스트되었습니다. 다른 모델을 사용하려는 경우 쉽게 변경할 수 있도록 파라미터화된 Terraform 코드를 사용자 지정할 수 있습니다.
이 솔루션에는 채팅 기록 기능이 포함되어 있지 않으며 채팅이 저장되지 않습니다.

아키텍처

다음 다이어그램은 이 패턴의 워크플로 및 구성 요소를 보여 줍니다.

워크플로는 다음 단계로 구성됩니다.

사용자는 Amazon Bedrock 채팅 콘솔을 통해 모델과 상호 작용합니다. 사용자는 다음과 같은 질문을 합니다.
- What can you help me with?
- List non-complaint resources
- Suggest security best practices
모델이 사전 훈련된 경우 기존 지식에서 직접 프롬프트에 응답합니다. 그렇지 않으면 프롬프트가 Amazon Bedrock 작업 그룹으로 이동합니다.
작업 그룹은 보안 서비스 통신을 AWS PrivateLink 위해를 사용하여 VPC 엔드포인트에 도달합니다.
요청은 Amazon Bedrock 서비스의 VPC 엔드포인트를 통해 Lambda 함수에 도달합니다.
Lambda 함수는 기본 실행 엔진입니다. 요청에 따라 함수는 API를 호출하여에 대한 작업을 수행합니다 AWS 서비스. 또한 작업 라우팅 및 실행을 처리합니다.
Lambda 함수는를 호출 AWS Config 하여 불만 사항이 아닌 리소스(사전 조건으로 생성한 규정 미준수 EC2 인스턴스)를 결정합니다.
AWS Config 는 불만이 아닌 리소스에 플래그를 지정합니다. 이 패턴은 AWS Config desired-instance-type 규칙을 배포하여 이상적인 EC2 인스턴스 크기를 찾습니다.
AWS Config 는 사용자에게 인스턴스를 일시 중지하거나 수정하라는 메시지를 표시하고 EC2 인스턴스에 따라 조치를 취합니다. Amazon Bedrock은이 반환 페이로드를 이해합니다.
사용자는 Amazon Bedrock 채팅 콘솔에서 응답을 받습니다.

자동화 및 규모 조정

이 솔루션은 Terraform을 코드형 인프라(IaC) 도구로 사용하여에 쉽게 배포 AWS 계정 하고 여러 계정에서 독립 실행형 유틸리티로 작동할 수 있습니다. 이 접근 방식은 관리를 간소화하고 배포의 일관성을 개선합니다.

도구

AWS 서비스

AWS Config를 사용하면 AWS 리소스의 구성에서 규정 준수 및 원하는 설정을 평가, 감사 및 평가할 수 있습니다.
Amazon Bedrock은 통합 API를 통해 많은 고성능 파운데이션 모델에 대한 액세스를 제공하는 완전관리형 AI 서비스입니다.
AWS Identity and Access Management (IAM)는 AWS 리소스에 대한 액세스를 인증하고 사용할 수 있는 권한을 부여받은 사용자를 제어하여 안전하게 관리하는 데 도움이 됩니다.
AWS Lambda는 서버를 프로비저닝하거나 관리할 필요 없이 코드를 실행하는 데 도움이 되는 컴퓨팅 서비스입니다. 필요할 때만 코드를 실행하며 자동으로 확장이 가능하므로 사용한 컴퓨팅 시간만큼만 비용을 지불합니다.

기타 도구

Git은 오픈 소스, 분산 버전 관리 시스템입니다.
Terraform은 HashiCorp의 코드형 인프라(IaC) 도구로, 클라우드 및 온프레미스 리소스를 생성하고 관리하는 데 도움이 됩니다.

코드 리포지토리

이 패턴의 코드는 GitHub sample-awsconfig-bedrock-compliance-manager 리포지토리에서 사용할 수 있습니다.

모범 사례

최소 권한 원칙을 따르고 작업을 수행하는 데 필요한 최소 권한을 부여합니다. 자세한 내용은 IAM 설명서의 최소 권한 부여 및 보안 모범 사례 및 사용 사례를 참조하세요.
Lambda 실행 로그를 정기적으로 모니터링합니다. 자세한 내용은 Lambda 설명서의 Lambda 함수 모니터링, 디버깅 및 문제 해결 및 AWS Lambda 함수 작업 모범 사례를 참조하세요.

에픽

작업 설명 필요한 기술

작업	설명	필요한 기술
리포지토리를 복제합니다.	이 패턴의 리포지토리를 복제하려면 다음 명령을 사용합니다. `git clone "git@github.com:aws-samples/sample-awsconfig-bedrock-compliance-manager.git"`	AWS DevOps, 빌드 책임자, DevOps 엔지니어, 클라우드 관리자
환경 변수를 편집합니다.	로컬 시스템에 복제된 리포지토리의 루트 디렉터리에서 `terraform.tfvars` 파일을 편집합니다. 로 표시된 자리 표시자를 검토하고 환경에 따라 `[XXXXX]`편집합니다.	AWS 시스템 관리자, AWS DevOps, DevOps 엔지니어, AWS 관리자
인프라를 생성합니다.	이 솔루션의 인프라를 생성하려면 다음 명령을 실행합니다. `terraform init terraform plan` 실행 계획을 검토한 다음 명령을 실행합니다. `terraform apply --auto-approve`	AWS DevOps, DevOps 엔지니어, AWS 시스템 관리자, 클라우드 관리자

리포지토리를 복제합니다.

이 패턴의 리포지토리를 복제하려면 다음 명령을 사용합니다.


git clone "git@github.com:aws-samples/sample-awsconfig-bedrock-compliance-manager.git"

AWS DevOps, 빌드 책임자, DevOps 엔지니어, 클라우드 관리자

환경 변수를 편집합니다.

로컬 시스템에 복제된 리포지토리의 루트 디렉터리에서 terraform.tfvars 파일을 편집합니다. 로 표시된 자리 표시자를 검토하고 환경에 따라 [XXXXX]편집합니다.

AWS 시스템 관리자, AWS DevOps, DevOps 엔지니어, AWS 관리자

인프라를 생성합니다.

이 솔루션의 인프라를 생성하려면 다음 명령을 실행합니다.
```
terraform init
terraform plan
```
실행 계획을 검토한 다음 명령을 실행합니다.
```
terraform apply --auto-approve
```

AWS DevOps, DevOps 엔지니어, AWS 시스템 관리자, 클라우드 관리자

작업 설명 필요한 기술

작업	설명	필요한 기술
에이전트와 채팅합니다.	이전 단계에서 솔루션을 배포하면 채팅 콘솔이 있는 Amazon Bedrock 에이전트`security-bot-agent`인가 배포됩니다. 에이전트를 사용하려면: Amazon Bedrock 콘솔을 사용할 권한이 있는 IAM 자격 증명 AWS Management Console 으로에 로그인합니다. 그런 다음 Amazon Bedrock 콘솔을 엽니다. 탐색 창에서 빌드, 에이전트를 선택합니다. security-bot-agent를 선택합니다. 에이전트와 대화를 시작합니다. 예: `List non-complaint EC2 instances` 및 `Replace these non-complaint EC2 instances with compliant instances`	AWS DevOps, DevOps 엔지니어, AWS 시스템 관리자, 클라우드 관리자

에이전트와 채팅합니다.

이전 단계에서 솔루션을 배포하면 채팅 콘솔이 있는 Amazon Bedrock 에이전트security-bot-agent인가 배포됩니다.

에이전트를 사용하려면:

Amazon Bedrock 콘솔을 사용할 권한이 있는 IAM 자격 증명 AWS Management Console 으로에 로그인합니다. 그런 다음 Amazon Bedrock 콘솔을 엽니다.
탐색 창에서 빌드, 에이전트를 선택합니다. security-bot-agent를 선택합니다.

에이전트와 대화를 시작합니다. 예:


List non-complaint EC2 instances

및


Replace these non-complaint EC2 instances with compliant instances

AWS DevOps, DevOps 엔지니어, AWS 시스템 관리자, 클라우드 관리자

작업 설명 필요한 기술

작업	설명	필요한 기술
인프라 및 리소스를 삭제합니다.	이 솔루션으로 작업을 완료하면 명령을 실행하여이 패턴으로 생성된 인프라를 삭제할 수 있습니다. `terraform destroy --auto-approve`	AWS DevOps, DevOps 엔지니어, AWS 시스템 관리자, 클라우드 관리자

인프라 및 리소스를 삭제합니다.

이 솔루션으로 작업을 완료하면 명령을 실행하여이 패턴으로 생성된 인프라를 삭제할 수 있습니다.


terraform destroy --auto-approve

AWS DevOps, DevOps 엔지니어, AWS 시스템 관리자, 클라우드 관리자

문제 해결

문제	Solution
에이전트 동작 문제	문제 해결 정보는 Amazon Bedrock 설명서의 에이전트 동작 테스트 및 문제 해결을 참조하세요.
AWS Lambda 네트워크 문제	자세한 내용은 Lambda 설명서의 Lambda의 네트워킹 문제 해결을 참조하세요.
IAM 권한	자세한 내용은 IAM 설명서의 IAM 문제 해결을 참조하세요.