As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Simplifique o gerenciamento de EC2 conformidade da Amazon com agentes do Amazon Bedrock e AWS Config
Anand Bukkapatnam Tirumala, Amazon Web Services
Resumo
Esse padrão descreve como integrar o Amazon Bedrock com AWS Config regras para facilitar o gerenciamento de conformidade para instâncias do Amazon Elastic Compute Cloud EC2 (Amazon). A abordagem usa recursos avançados de IA generativa para fornecer recomendações personalizadas que estão alinhadas com o AWS Well-Architected Framework, para garantir a seleção ideal do tipo de instância e a eficiência do sistema. As principais características desse padrão incluem:
Monitoramento automatizado de conformidade: AWS Config as regras avaliam continuamente as EC2 instâncias com base em critérios predefinidos para os tipos de instância desejados.
Recomendações orientadas por IA: os modelos generativos de IA no Amazon Bedrock analisam padrões de infraestrutura. Esses modelos fornecem sugestões inteligentes para melhorias com base nas melhores práticas descritas no AWS Well-Architected Framework.
Remediação: os grupos de ação do Amazon Bedrock permitem etapas automatizadas de remediação para resolver rapidamente instâncias não compatíveis e minimizar possíveis ineficiências de desempenho ou custo.
Escalabilidade e adaptabilidade: a solução foi projetada para escalar com sua infraestrutura e se adaptar às suas necessidades de arquitetura de nuvem em evolução.
Recomendações de segurança aprimoradas: a conformidade com os princípios da AWS Well-Architected contribui para melhorar a postura de segurança e o desempenho do sistema.
Você pode usar esse padrão como um modelo para implantar sua própria infraestrutura generativa baseada em IA em vários ambientes com o mínimo de alterações, usando DevOps práticas conforme necessário.
Pré-requisitos e limitações
Pré-requisitos
Um ativo Conta da AWS.
Uma função AWS Identity and Access Management (IAM) com permissões para criar e gerenciar recursos em buckets e AWS Lambda funções do Amazon Simple Storage Service (Amazon S3) AWS Config, Amazon Bedrock, IAM, Amazon Logs e CloudWatch Amazon. EC2
Uma EC2 instância a ser sinalizada como não compatível. Não use o
t2.smalltipo para essa instância.Modelos Amazon Titan Text Embeddings V2 e Anthropic Claude 3 Haiku habilitados em seu. Conta da AWS Para habilitar o acesso ao modelo no Região da AWS local em que você está implantando a solução, consulte Adicionar ou remover o acesso aos modelos da Amazon Bedrock Foundation na documentação do Amazon Bedrock.
Terraform
, instalado e configurado. O AWS Command Line Interface (AWS CLI) v2 instalado e configurado no ambiente de implantação.
Revisão concluída da política de IA responsável da Amazon
.
Limitações
Alguns Serviços da AWS não estão disponíveis em todos Regiões da AWS. Para ver a disponibilidade da região, consulte Serviços da AWS por região
. Para endpoints específicos, consulte Endpoints e cotas de serviço e escolha o link para o serviço. Essa solução foi testada usando os modelos Amazon Titan Text Embeddings V2 e Claude 3 Haiku. Se preferir usar outros modelos, você pode personalizar o código do Terraform, que é parametrizado para facilitar as alterações.
Essa solução não inclui um recurso de histórico de bate-papo e o bate-papo não é armazenado.
Arquitetura
O diagrama a seguir mostra o fluxo de trabalho e os componentes da arquitetura desse padrão.
O fluxo de trabalho consiste nas seguintes etapas:
O usuário interage com o modelo por meio do console de bate-papo Amazon Bedrock. O usuário faz perguntas como:
What can you help me with?List non-complaint resourcesSuggest security best practices
Se o modelo for pré-treinado, ele responderá às solicitações diretamente de seu conhecimento existente. Caso contrário, a solicitação vai para o grupo de ação Amazon Bedrock.
O grupo de ação alcança os endpoints da VPC usando AWS PrivateLink
para comunicação segura de serviços. A solicitação alcança a função Lambda por meio dos endpoints VPC dos serviços Amazon Bedrock.
A função Lambda é o principal mecanismo de execução. Com base na solicitação, a função chama a API para realizar ações no Serviços da AWS. Ele também lida com o roteamento e a execução da operação.
A função Lambda chama AWS Config para determinar os recursos que não são de reclamação (a EC2 instância não compatível que você criou como pré-requisito).
AWS Config sinaliza o recurso de não reclamação. Esse padrão implanta a AWS Config desired-instance-typeregra para encontrar o tamanho ideal da EC2 instância.
AWS Config solicita que o usuário pause ou corrija a instância e age adequadamente na instância. EC2 O Amazon Bedrock entende essa carga de retorno.
O usuário recebe uma resposta no console de bate-papo Amazon Bedrock.
Automação e escala
Essa solução usa o Terraform como uma ferramenta de infraestrutura como código (IaC) para permitir a fácil implantação Contas da AWS e funcionar como um utilitário independente em várias contas. Essa abordagem simplifica o gerenciamento e melhora a consistência nas implantações.
Ferramentas
Serviços da AWS
AWS Configpermite que você avalie, audite e avalie as configurações de seus AWS recursos quanto à conformidade e às configurações desejadas.
O Amazon Bedrock é um serviço de IA totalmente gerenciado que fornece acesso a vários modelos básicos de alto desempenho por meio de uma API unificada.
AWS Identity and Access Management (IAM) ajuda você a gerenciar com segurança o acesso aos seus recursos da AWS controlando quem está autenticado e autorizado a usá-los.
O AWS Lambda é um serviço de computação que ajuda a executar código sem exigir provisionamento ou gerenciamento de servidores. Ele executa o código somente quando necessário e dimensiona automaticamente, assim, você paga apenas pelo tempo de computação usado.
Outras ferramentas
O Git
é um sistema de controle de versão distribuído e de código aberto. O Terraform
é uma ferramenta de infraestrutura como código (IaC) HashiCorp que ajuda você a criar e gerenciar recursos na nuvem e no local.
Repositório de código
O código desse padrão está disponível no repositório GitHub sample-awsconfig-bedrock-compliance-manager
Práticas recomendadas
Siga o princípio do privilégio mínimo e conceda as permissões mínimas necessárias para realizar uma tarefa. Para obter mais informações, consulte Conceder privilégios mínimos e melhores práticas e casos de uso de segurança na documentação do IAM.
Monitore os registros de execução do Lambda regularmente. Para obter mais informações, consulte Monitoramento, depuração e solução de problemas de funções do Lambda e Melhores práticas para trabalhar com funções AWS Lambda na documentação do Lambda.
Épicos
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Clonar o repositório. | Para clonar o repositório para esse padrão, use o seguinte comando:
| AWS DevOps, líder de construção, DevOps engenheiro, administrador de nuvem |
Edite as variáveis de ambiente. | No diretório raiz do repositório clonado em sua máquina local, edite o | Administrador de sistemas da AWS, AWS DevOps, DevOps engenheiro, administrador da AWS |
Crie a infraestrutura. |
| AWS DevOps, DevOps engenheiro, administrador de sistemas da AWS, administrador de nuvem |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Converse com o agente. | A implantação da solução na etapa anterior é implantada Para usar o agente:
| AWS DevOps, DevOps engenheiro, administrador de sistemas da AWS, administrador de nuvem |
| Tarefa | Descrição | Habilidades necessárias |
|---|---|---|
Exclua a infraestrutura e os recursos. | Ao concluir seu trabalho com essa solução, você pode excluir a infraestrutura criada por esse padrão executando o comando:
| AWS DevOps, DevOps engenheiro, administrador de sistemas da AWS, administrador de nuvem |
Solução de problemas
| Problema | Solução |
|---|---|
Problemas de comportamento do agente | Para obter informações sobre solução de problemas, consulte Testar e solucionar problemas de comportamento do agente na documentação do Amazon Bedrock. |
AWS Lambda problemas de rede | Para obter mais informações, consulte Solucionar problemas de rede no Lambda na documentação do Lambda. |
permissões do IAM | Para obter mais informações, consulte Solucionar problemas do IAM na documentação do IAM. |
Recursos relacionados
Use grupos de ação para definir ações para seu agente realizar (documentação do Amazon Bedrock)
desired-instance-type regra (AWS Config documentação)
Como AWS Config funciona (AWS Config documentação)
