

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwenden Sie Amazon Bedrock-Agenten, um die Erstellung von Zugriffskontrollen in Amazon EKS durch textbasierte Eingabeaufforderungen zu automatisieren
<a name="using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks"></a>

*Keshav Ganesh und Sudhanshu Saurav, Amazon Web Services*

## Zusammenfassung
<a name="using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks-summary"></a>

Organizations stehen vor Herausforderungen bei der Verwaltung der Zugriffskontrollen und der Ressourcenbereitstellung, wenn mehrere Teams mit einem gemeinsamen Amazon Elastic Kubernetes Service (Amazon EKS) -Cluster arbeiten müssen. Ein verwalteter Kubernetes-Service wie Amazon EKS hat den Clusterbetrieb vereinfacht. Der Verwaltungsaufwand für die Verwaltung des Teamzugriffs und der Ressourcenberechtigungen bleibt jedoch komplex und zeitaufwändig. 

Dieses Muster zeigt, wie Amazon Bedrock-Agenten Ihnen helfen können, die Amazon EKS-Cluster-Zugriffsverwaltung zu automatisieren. Diese Automatisierung ermöglicht es Entwicklungsteams, sich auf die Entwicklung ihrer Kernanwendungen zu konzentrieren, anstatt sich mit der Einrichtung und Verwaltung der Zugriffskontrolle zu befassen. Sie können einen Amazon Bedrock-Agenten so anpassen, dass er mithilfe einfacher Eingabeaufforderungen in natürlicher Sprache Aktionen für eine Vielzahl von Aufgaben ausführt.

Durch die Verwendung von AWS Lambda Funktionen als Aktionsgruppen kann ein Amazon Bedrock-Agent Aufgaben wie das Erstellen von Benutzerzugriffseinträgen und das Verwalten von Zugriffsrichtlinien übernehmen. Darüber hinaus kann ein Amazon Bedrock-Agent Pod-Identitätszuordnungen konfigurieren, die den Zugriff auf AWS Identity and Access Management (IAM-) Ressourcen für die im Cluster laufenden Pods ermöglichen. Mit dieser Lösung können Unternehmen ihre Amazon EKS-Clusterverwaltung mit einfachen textbasierten Eingabeaufforderungen optimieren, den manuellen Aufwand reduzieren und die allgemeine Entwicklungseffizienz verbessern.

## Voraussetzungen und Einschränkungen
<a name="using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks-prereqs"></a>

**Voraussetzungen**
+ Ein aktiver. AWS-Konto
+ Etablierte [IAM-Rollen und -Berechtigungen](https://docs.aws.amazon.com/bedrock/latest/userguide/security_iam_id-based-policy-examples.html) für den Bereitstellungsprozess. Dazu gehören Berechtigungen für den Zugriff auf Amazon Bedrock Foundation Models (FM), die Erstellung von Lambda-Funktionen und alle anderen erforderlichen Ressourcen im gesamten Ziel. AWS-Konten
+ Der [Zugriff auf diese Amazon Bedrock FMs: Amazon Titan Text Embeddings V2 und Anthropic Claude 3 Haiku ist im aktiven AWS-Konto Modus aktiviert](https://docs.aws.amazon.com/bedrock/latest/userguide/model-access.html).
+ AWS Command Line Interface [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)
+ [eksctl 0.194.0 oder höher, installiert.](https://eksctl.io/installation/)

**Einschränkungen**
+ Möglicherweise sind Schulungen und Unterlagen erforderlich, um eine reibungslose Einführung und effektive Anwendung dieser Techniken zu gewährleisten. Die Verwendung von Amazon Bedrock, Amazon EKS, Lambda, Amazon OpenSearch Service und [OpenAPI](https://www.openapis.org/what-is-openapi) erfordert eine erhebliche Lernkurve für Entwickler und Teams. DevOps 
+ Einige AWS-Services sind nicht in allen verfügbar. AWS-Regionen Informationen zur Verfügbarkeit in den einzelnen Regionen finden Sie unter [AWS-Services nach Regionen](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). Informationen zu bestimmten Endpunkten finden Sie unter [Service-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html). Wählen Sie dort den Link für den Service aus.

## Architektur
<a name="using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks-architecture"></a>

Das folgende Diagramm zeigt den Workflow und die Architekturkomponenten für dieses Muster.

![\[Workflow und Komponenten zur Erstellung von Zugriffskontrollen in Amazon EKS mit Amazon Bedrock-Agenten.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/2c52b1ba-bbad-4a46-ab1e-10e69a0a66e7/images/c7981a86-f734-4c07-a2f7-63ad38b66ab6.png)


Diese Lösung führt die folgenden Schritte aus:

1. Der Benutzer interagiert mit dem Amazon Bedrock-Agenten, indem er eine Aufforderung oder Anfrage sendet, die dem Agenten als Eingabe zur Bearbeitung und Ergreifung von Maßnahmen dient.

1. Basierend auf der Aufforderung überprüft der Amazon Bedrock-Agent das OpenAPI-Schema, um die richtige API für das Ziel zu identifizieren. Wenn der Amazon Bedrock-Agent den richtigen API-Aufruf findet, wird die Anfrage an die Aktionsgruppe weitergeleitet, die der Lambda-Funktion zugeordnet ist, die diese Aktionen implementiert.

1. Wenn keine relevante API gefunden wird, fragt der Amazon Bedrock-Agent die OpenSearch Sammlung ab. Die OpenSearch Sammlung verwendet indexierte Wissensdatenbankinhalte, die aus dem Amazon S3 S3-Bucket stammen, der das *Amazon EKS-Benutzerhandbuch* enthält.

1. Die OpenSearch Sammlung sendet relevante Kontextinformationen an den Amazon Bedrock-Mitarbeiter zurück.

1. Bei umsetzbaren Anfragen (solche, die einem API-Vorgang entsprechen) wird der Amazon Bedrock-Agent in einer Virtual Private Cloud (VPC) ausgeführt und löst die Lambda-Funktion aus.

1. Die Lambda-Funktion führt eine Aktion aus, die auf den Eingaben des Benutzers im Amazon EKS-Cluster basiert.

1. Der Amazon S3 S3-Bucket für den Lambda-Code speichert das Artefakt, für das der Code und die Logik für die Lambda-Funktion geschrieben wurden.

## Tools
<a name="using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks-tools"></a>

**AWS-Services**
+ [Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/what-is-bedrock.html) ist ein vollständig verwalteter Service, der Ihnen leistungsstarke Basismodelle (FMs) von führenden KI-Startups und Amazon über eine einheitliche API zur Verfügung stellt.
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)hilft Ihnen dabei, AWS Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten AWS-Konten Lebenszyklus über und zu verwalten. AWS-Regionen
+ Mit [Amazon Elastic Kubernetes Service (Amazon EKS)](https://docs.aws.amazon.com/eks/latest/userguide/getting-started.html) können Sie Kubernetes ausführen, AWS ohne dass Sie Ihre eigene Kubernetes-Steuerebene oder Knoten installieren oder verwalten müssen.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, diese zu verwenden.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
+ [Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/what-is.html) ist ein verwalteter Service, der Sie bei der Bereitstellung, dem Betrieb und der Skalierung von OpenSearch Clustern in der unterstützt AWS Cloud. Die Sammlungsfunktion hilft Ihnen dabei, Ihre Daten zu organisieren und umfassende Wissensdatenbanken aufzubauen, die KI-Assistenten wie Amazon Bedrock-Agenten nutzen können.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) ist ein cloudbasierter Objektspeicherservice, der Sie beim Speichern, Schützen und Abrufen beliebiger Datenmengen unterstützt.

**Andere Tools**
+ [eksctl](https://docs.aws.amazon.com/eks/latest/userguide/getting-started-eksctl.html) ist ein Befehlszeilenprogramm zum Erstellen und Verwalten von Kubernetes-Clustern auf Amazon EKS.

**Code-Repository**

Der Code für dieses Muster ist im GitHub [eks-access-controls-bedrock-agent-Repository](https://github.com/aws-samples/eks-access-controls-bedrock-agent.git) verfügbar.

## Best Practices
<a name="using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks-best-practices"></a>
+ Achten Sie bei der Implementierung dieses Musters auf die höchstmögliche Sicherheit. Stellen Sie sicher, dass der Amazon EKS-Cluster privat ist, über eingeschränkte Zugriffsberechtigungen verfügt und dass sich alle Ressourcen in einer Virtual Private Cloud (VPC) befinden. Weitere Informationen finden Sie unter [Bewährte Sicherheitsmethoden](https://docs.aws.amazon.com/eks/latest/best-practices/security.html) in der Amazon EKS-Dokumentation.
+ Verwenden Sie nach Möglichkeit vom AWS KMS [Kunden verwaltete Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) und gewähren Sie ihnen eingeschränkte Zugriffsberechtigungen.
+ Folgen Sie dem Prinzip der geringsten Rechte und gewähren Sie nur die für die Ausführung einer Aufgabe erforderlichen Mindestberechtigungen. Weitere Informationen finden Sie in der IAM-Dokumentation unter [Gewährung der geringsten Rechte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#grant-least-priv) und [bewährte Methoden zur Sicherheit](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html).

## Epen
<a name="using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks-epics"></a>

### Richte die Umgebung ein
<a name="set-up-the-environment"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Klonen Sie das Repository | Um das Repository dieses Musters zu klonen, führen Sie den folgenden Befehl auf Ihrer lokalen Workstation aus:<pre>git clone https://github.com/aws-samples/eks-access-controls-bedrock-agent.git</pre> | AWS DevOps | 
| Holen Sie sich den AWS-Konto Ausweis. | Gehen Sie wie folgt vor, um die AWS-Konto ID zu erhalten:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html)Dieser Befehl speichert Ihre AWS-Konto ID in der `AWS_ACCOUNT` Variablen. | AWS DevOps | 
| Erstellen Sie den S3-Bucket für Lambda-Code. | Um diese Lösung zu implementieren, müssen Sie drei Amazon S3 S3-Buckets erstellen, die unterschiedlichen Zwecken dienen, wie im [Architekturdiagramm](#using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks-architecture) dargestellt. Die S3-Buckets sind für Lambda-Code, eine Wissensdatenbank und ein OpenAPI-Schema vorgesehen.Gehen Sie wie folgt vor, um den Lambda-Code-Bucket zu erstellen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html)Der Paketbefehl erstellt eine neue CloudFormation Vorlage (`eks-access-controls-template.yaml`), die Folgendes enthält:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html) | AWS DevOps | 
| Erstellen Sie den S3-Bucket für die Wissensdatenbank. | Gehen Sie wie folgt vor, um den Amazon S3 S3-Bucket für die Wissensdatenbank zu erstellen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html) | AWS DevOps | 
| Erstellen Sie den S3-Bucket für das OpenAPI-Schema. | Gehen Sie wie folgt vor, um den Amazon S3 S3-Bucket für das OpenAPI-Schema zu erstellen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html) | AWS DevOps | 

### Stellen Sie den CloudFormation Stack bereit
<a name="deploy-the-cfnshort-stack"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Stellen Sie den CloudFormation Stack bereit.  | Verwenden Sie zum Bereitstellen des CloudFormation Stacks die CloudFormation Vorlagendatei`eks-access-controls-template.yaml`, die Sie zuvor erstellt haben. Ausführlichere Anweisungen finden Sie in der CloudFormation Dokumentation unter [Erstellen eines Stacks von der CloudFormation Konsole](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) aus.Die Bereitstellung des OpenSearch Indexes mit der CloudFormation Vorlage dauert etwa 10 Minuten.Nachdem der Stapel erstellt wurde, notieren Sie sich die `VPC_ID` und `PRIVATE_SUBNET ID` s. | AWS DevOps | 
| Erstellen Sie den Amazon EKS-Cluster.  | Gehen Sie wie folgt vor, um den Amazon EKS-Cluster innerhalb der VPC zu erstellen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html)Die erwarteten Ergebnisse lauten wie folgt:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html) | AWS DevOps | 

### Connect die Lambda-Funktion und den Amazon EKS-Cluster
<a name="connect-the-lam-function-and-the-eks-cluster"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Stellen Sie eine Verbindung zwischen dem Amazon EKS-Cluster und der Lambda-Funktion her. | Gehen Sie wie folgt vor, um Netzwerk- und IAM-Berechtigungen einzurichten, damit die Lambda-Funktion mit dem Amazon EKS-Cluster kommunizieren kann:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html) | AWS DevOps | 

### Testen der Lösung
<a name="test-the-solution"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Testen Sie den Amazon Bedrock-Agenten. | Bevor Sie den Amazon Bedrock-Agenten testen, stellen Sie sicher, dass Sie Folgendes tun:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html)Gehen Sie wie folgt vor, um auf den Amazon Bedrock-Agenten zuzugreifen:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html)Sie können den Agenten auch bitten, Aktionen für EKS Pod Identity-Verknüpfungen auszuführen. Weitere Informationen finden [Sie AWS-Services in der Amazon EKS-Dokumentation unter Erfahren Sie, wie EKS Pod Identity Pods Zugriff gewährt](https://docs.aws.amazon.com/eks/latest/userguide/pod-identities.html). | AWS DevOps | 

### Bereinigen
<a name="clean-up"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Bereinigen Sie die Ressourcen. | Gehen Sie wie folgt vor, um die Ressourcen zu bereinigen, die durch dieses Muster erstellt wurden. Warten Sie, bis jeder Löschschritt abgeschlossen ist, bevor Sie mit dem nächsten Schritt fortfahren.Durch dieses Verfahren werden alle Ressourcen, die von diesen Stacks erstellt wurden, dauerhaft gelöscht. Stellen Sie sicher, dass Sie alle wichtigen Daten gesichert haben, bevor Sie fortfahren.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html) | AWS DevOps | 

## Fehlerbehebung
<a name="using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks-troubleshooting"></a>


| Problem | Lösung | 
| --- | --- | 
| Bei der Einrichtung der Umgebung wird ein Fehlercode ungleich Null zurückgegeben. | Stellen Sie sicher, dass Sie den richtigen Ordner verwenden, wenn Sie einen Befehl zur Bereitstellung dieser Lösung ausführen. Weitere Informationen finden Sie in der Datei [First\$1Deploy.md](https://github.com/aws-samples/eks-access-controls-bedrock-agent/blob/main/FIRST_DEPLOY.md) im Repository dieses Patterns. | 
| Die Lambda-Funktion ist nicht in der Lage, die Aufgabe zu erledigen. | Stellen Sie sicher, dass die Konnektivität zwischen der Lambda-Funktion und dem Amazon EKS-Cluster korrekt eingerichtet ist. | 
| Die Eingabeaufforderungen des Agenten erkennen das nicht. APIs | Stellen Sie die Lösung erneut bereit. Weitere Informationen finden Sie in der Datei [RE\$1DEPLOY.md](https://github.com/aws-samples/eks-access-controls-bedrock-agent/blob/main/RE_DEPLOY.md) im Repository dieses Patterns. | 
| Der Stapel kann nicht gelöscht werden. | Ein erster Versuch, den Stapel zu löschen, schlägt möglicherweise fehl. Dieser Fehler kann aufgrund von Abhängigkeitsproblemen mit der benutzerdefinierten Ressource auftreten, die für die OpenSearch Sammlung erstellt wurde, die die Indexierung für die Wissensdatenbank durchführt. Um den Stapel zu löschen, wiederholen Sie den Löschvorgang, indem Sie die benutzerdefinierte Ressource beibehalten. | 

## Zugehörige Ressourcen
<a name="using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks-resources"></a>

**AWS Blog**
+ [Ein tiefer Einblick in vereinfachte Amazon EKS-Zugriffsverwaltungskontrollen](https://aws.amazon.com/blogs/containers/a-deep-dive-into-simplified-amazon-eks-access-management-controls/) 

**Dokumentation zu Amazon Bedrock**
+ [Automatisieren Sie Aufgaben in Ihrer Anwendung mithilfe von KI-Agenten](https://docs.aws.amazon.com/bedrock/latest/userguide/agents.html) 
+ [So funktioniert Amazon Bedrock Agents](https://docs.aws.amazon.com/bedrock/latest/userguide/agents-how.html)
+ [Testen Sie das Verhalten der Agenten und beheben Sie Fehler](https://docs.aws.amazon.com/bedrock/latest/userguide/agents-test.html)
+ [Verwenden Sie Aktionsgruppen, um Aktionen zu definieren, die Ihr Agent ausführen soll](https://docs.aws.amazon.com/bedrock/latest/userguide/agents-action-create.html) 

**Amazon EKS-Dokumentation**
+ [Erfahren Sie, wie die Zugriffskontrolle in Amazon EKS funktioniert](https://docs.aws.amazon.com/eks/latest/userguide/cluster-auth.html)