Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Optimieren Sie das EC2 Amazon-Compliance-Management mit Amazon Bedrock-Agenten und AWS Config
*Anand Bukkapatnam Tirumala, Amazon Web Services*
## Zusammenfassung
Dieses Muster beschreibt, wie Amazon Bedrock mit AWS Config Regeln integriert wird, um das Compliance-Management für Amazon Elastic Compute Cloud (Amazon EC2) -Instances zu erleichtern. Der Ansatz nutzt fortschrittliche generative KI-Funktionen, um maßgeschneiderte Empfehlungen zu geben, die auf das [AWS Well-Architected Framework](https://docs.aws.amazon.com/wellarchitected/latest/framework/welcome.html) abgestimmt sind, um eine optimale Auswahl des Instanztyps und die optimale Systemeffizienz zu gewährleisten. Zu den wichtigsten Merkmalen dieses Musters gehören:
+ Automatisierte Compliance-Überwachung: AWS Config Regeln bewerten EC2 Instanzen kontinuierlich anhand vordefinierter Kriterien für die gewünschten Instanztypen.
+ KI-gestützte Empfehlungen: Die generativen KI-Modelle in Amazon Bedrock analysieren Infrastrukturmuster. Diese Modelle bieten intelligente Verbesserungsvorschläge auf der Grundlage von Best Practices, die im AWS Well-Architected Framework beschrieben sind.
+ Problembehebung: Amazon Bedrock-Aktionsgruppen ermöglichen automatisierte Schritte zur Problembehebung, um Fälle, die nicht den Vorschriften entsprechen, schnell zu beheben und potenzielle Leistungs- oder Kostenineffizienzen zu minimieren.
+ Skalierbarkeit und Anpassungsfähigkeit: Die Lösung ist so konzipiert, dass sie mit Ihrer Infrastruktur skaliert und sich an Ihre sich ändernden Anforderungen an die Cloud-Architektur anpasst.
+ Verbesserte Sicherheitsempfehlungen: Die Einhaltung der AWS Well-Architected-Prinzipien trägt zu einer verbesserten Sicherheitslage und Systemleistung bei.
Sie können dieses Muster als Blaupause verwenden, um Ihre eigene generative KI-basierte Infrastruktur mit minimalen Änderungen in mehreren Umgebungen bereitzustellen und dabei die erforderlichen Verfahren anzuwenden. DevOps
## Voraussetzungen und Einschränkungen
**Voraussetzungen**
+ Ein aktiver. AWS-Konto
+ Eine AWS Identity and Access Management (IAM-) Rolle mit Berechtigungen zum Erstellen und Verwalten von Ressourcen in Amazon Simple Storage Service (Amazon S3) -Buckets, AWS Lambda Funktionen AWS Config, Amazon Bedrock, IAM, Amazon CloudWatch Logs und Amazon. EC2
+ Eine EC2 Instance, die als nicht konform gekennzeichnet werden soll. Verwenden Sie den `t2.small` Typ nicht für diese Instanz.
+ [Amazon Titan Text Embeddings V2](https://docs.aws.amazon.com/bedrock/latest/userguide/titan-embedding-models.html) und Anthropic Claude 3 Haiku-Modelle sind in Ihrem aktiviert. AWS-Konto Informationen zum Aktivieren des Modellzugriffs für den AWS-Region Ort, an dem Sie die Lösung bereitstellen, finden [Sie unter Zugriff auf Amazon Bedrock Foundation-Modelle hinzufügen oder entfernen](https://docs.aws.amazon.com/bedrock/latest/userguide/model-access-modify.html) in der Amazon Bedrock-Dokumentation.
+ [Terraform](https://developer.hashicorp.com/terraform/install), installiert und konfiguriert.
+ Die [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) v2 wurde in der Bereitstellungsumgebung installiert und konfiguriert.
+ Die Überprüfung der [Amazon Responsible AI-Richtlinie](https://aws.amazon.com/ai/responsible-ai/policy/) wurde abgeschlossen.
**Einschränkungen**
+ Einige AWS-Services sind nicht in allen verfügbar AWS-Regionen. Informationen zur Verfügbarkeit in den einzelnen Regionen finden Sie [AWS-Services unter Nach Regionen](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). Informationen zu bestimmten Endpunkten finden Sie unter [Dienstendpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html). Wählen Sie dort den Link für den Dienst aus.
+ Diese Lösung wurde mit den Haiku-Modellen Amazon Titan Text Embeddings V2 und Claude 3 getestet. Wenn Sie lieber andere Modelle verwenden möchten, können Sie den Terraform-Code anpassen, der für einfache Änderungen parametrisiert ist.
+ Diese Lösung enthält keine Chat-Verlaufsfunktion und der Chat wird nicht gespeichert.
## Architektur
Das folgende Diagramm zeigt den Workflow und die Architekturkomponenten für dieses Muster.
![\[Architektur und Arbeitsablauf zur Optimierung des EC2 Amazon-Compliance-Managements mit Amazon Bedrock-Agenten.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/f43ae2bd-209e-412b-9364-e73996360992/images/4ebf4bce-4927-4d78-841e-95c44b8d780f.png)
Der Arbeitsablauf besteht aus den folgenden Schritten:
1. Der Benutzer interagiert mit dem Modell über die Amazon Bedrock-Chat-Konsole. Der Benutzer stellt Fragen wie:
+ `What can you help me with?`
+ `List non-complaint resources`
+ `Suggest security best practices`
1. Wenn das Modell vorab trainiert ist, reagiert es direkt auf die Eingabeaufforderungen und stützt sich dabei auf sein vorhandenes Wissen. Andernfalls wird die Aufforderung an die Amazon Bedrock-Aktionsgruppe weitergeleitet.
1. Die Aktionsgruppe erreicht die [VPC-Endpunkte](https://docs.aws.amazon.com/whitepapers/latest/aws-privatelink/what-are-vpc-endpoints.html) über [AWS PrivateLink](https://aws.amazon.com/privatelink/)die sichere Dienstkommunikation.
1. Die Anfrage erreicht die Lambda-Funktion über die VPC-Endpunkte für Amazon Bedrock-Services.
1. Die Lambda-Funktion ist die primäre Ausführungs-Engine. Basierend auf der Anfrage ruft die Funktion die API auf, um Aktionen auf der AWS-Services auszuführen. Sie kümmert sich auch um das Routing und die Ausführung von Vorgängen.
1. Die Lambda-Funktion ruft AWS Config auf, um Ressourcen zu ermitteln, die nicht den Anforderungen entsprechen (die nicht konforme EC2 Instanz, die Sie als Voraussetzung erstellt haben).
1. AWS Config kennzeichnet die Ressource, die nicht den Anforderungen entspricht. Dieses Muster verwendet die AWS Config [desired-instance-type](https://docs.aws.amazon.com/config/latest/developerguide/desired-instance-type.html)Regel, um die ideale EC2 Instanzgröße zu ermitteln.
1. AWS Config fordert den Benutzer auf, die Instanz anzuhalten oder zu reparieren, und ergreift entsprechende Maßnahmen für die Instanz. EC2 Amazon Bedrock versteht diese Payload für die Rücksendung.
1. Der Benutzer erhält eine Antwort auf der Amazon Bedrock-Chat-Konsole.
**Automatisierung und Skalierung**
Diese Lösung verwendet Terraform als Infrastructure-as-Code-Tool (IaC), um eine einfache Implementierung in mehreren Konten zu ermöglichen AWS-Konten und als eigenständiges Programm zu funktionieren. Dieser Ansatz vereinfacht die Verwaltung und verbessert die Konsistenz der Bereitstellungen.
## Tools
**AWS-Services**
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)ermöglicht es Ihnen, die Konfigurationen Ihrer AWS Ressourcen im Hinblick auf Konformität und gewünschte Einstellungen zu bewerten, zu prüfen und zu bewerten.
+ [Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/what-is-bedrock.html) ist ein vollständig verwalteter KI-Service, der über eine einheitliche API Zugriff auf viele leistungsstarke Basismodelle bietet.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS-Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, sie zu verwenden.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
**Andere Tools**
+ [Git](https://git-scm.com/docs) ist ein verteiltes Open-Source-Versionskontrollsystem.
+ [Terraform](https://www.terraform.io/) ist ein IaC-Tool (Infrastructure as Code) HashiCorp , mit dem Sie Cloud- und lokale Ressourcen erstellen und verwalten können.
**Code-Repository**
Der Code für dieses Muster ist im GitHub [sample-awsconfig-bedrock-compliance-manager-Repository](https://github.com/aws-samples/sample-awsconfig-bedrock-compliance-manager) verfügbar.
## Best Practices
+ Folgen Sie dem Prinzip der geringsten Rechte und gewähren Sie die Mindestberechtigungen, die zur Ausführung einer Aufgabe erforderlich sind. Weitere Informationen finden Sie in der IAM-Dokumentation unter [Gewährung der geringsten Rechte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#grant-least-priv) [und unter Bewährte Methoden und Anwendungsfälle zur Sicherheit](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPracticesAndUseCases.html).
+ Überwachen Sie regelmäßig die Lambda-Ausführungsprotokolle. Weitere Informationen finden Sie in der Lambda-Dokumentation unter [Überwachung, Debuggen und Problembehandlung von Lambda-Funktionen](https://docs.aws.amazon.com/lambda/latest/dg/lambda-monitoring.html) und [Bewährte Methoden für die Arbeit mit AWS Lambda Funktionen](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html).
## Epen
### Bereitstellen der Lösung
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Klonen Sie das Repository | Verwenden Sie den folgenden Befehl, um das Repository für dieses Muster zu klonen:git clone "git@github.com:aws-samples/sample-awsconfig-bedrock-compliance-manager.git"
| AWS DevOps, Build-Leiter, DevOps Ingenieur, Cloud-Administrator |
| Bearbeiten Sie die Umgebungsvariablen. | Bearbeiten Sie die `terraform.tfvars` Datei im Stammverzeichnis des geklonten Repositorys auf Ihrem lokalen Computer. Überprüfen Sie die Platzhalter, die mit markiert sind`[XXXXX]`, und bearbeiten Sie sie entsprechend Ihrer Umgebung. | AWS-Systemadministrator, AWS DevOps, DevOps Ingenieur, AWS-Administrator |
| Erstellen Sie die Infrastruktur. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/streamline-amazon-ec2-compliance-management-with-amazon-bedrock-agents-and-aws-config.html) | AWS DevOps, DevOps Ingenieur, AWS-Systemadministrator, Cloud-Administrator |
### Verwenden Sie den Agenten
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Chatten Sie mit dem Agenten. | Bei der Bereitstellung der Lösung im vorherigen Schritt wird `security-bot-agent` ein Amazon Bedrock-Agent mit einer Chat-Konsole bereitgestellt.So verwenden Sie den Agenten:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/streamline-amazon-ec2-compliance-management-with-amazon-bedrock-agents-and-aws-config.html) | AWS DevOps, DevOps Ingenieur, AWS-Systemadministrator, Cloud-Administrator |
### Bereinigen von Ressourcen
| Aufgabe | Description | Erforderliche Fähigkeiten |
| --- | --- | --- |
| Löschen Sie die Infrastruktur und die Ressourcen. | Wenn Sie Ihre Arbeit mit dieser Lösung abgeschlossen haben, können Sie die nach diesem Muster erstellte Infrastruktur löschen, indem Sie den folgenden Befehl ausführen:terraform destroy --auto-approve
| AWS DevOps, DevOps Ingenieur, AWS-Systemadministrator, Cloud-Administrator |
## Fehlerbehebung
| Problem | Lösung |
| --- | --- |
| Probleme mit dem Verhalten der Agenten | Informationen zur Fehlerbehebung finden Sie unter [Testen und Beheben von Problemen mit dem Verhalten von Agenten](https://docs.aws.amazon.com/bedrock/latest/userguide/agents-test.html) in der Amazon Bedrock-Dokumentation. |
| AWS Lambda Netzwerkprobleme | Weitere Informationen finden Sie unter [Beheben von Netzwerkproblemen in Lambda](https://docs.aws.amazon.com/lambda/latest/dg/troubleshooting-networking.html) in der Lambda-Dokumentation. |
| IAM-Berechtigungen | Weitere Informationen finden Sie unter [Problembehandlung bei IAM in der IAM-Dokumentation](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot.html). |
## Zugehörige Ressourcen
+ [Agenten von Amazon Bedrock](https://aws.amazon.com/bedrock/agents/)
+ [Verwenden Sie Aktionsgruppen, um Aktionen zu definieren, die Ihr Agent ausführen soll](https://docs.aws.amazon.com/bedrock/latest/userguide/agents-action-create.html) (Amazon Bedrock-Dokumentation)
+ [desired-instance-type Regel](https://docs.aws.amazon.com/config/latest/developerguide/desired-instance-type.html) (AWS Config Dokumentation)
+ [Wie AWS Config funktioniert](https://docs.aws.amazon.com/config/latest/developerguide/how-does-config-work.html) (AWS Config Dokumentation)