Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Schritt 4: Konfiguration nach der Bereitstellung
Dieser Abschnitt enthält Empfehlungen für die Konfiguration der Lösung nach der Bereitstellung.
## Versionierung von Amazon S3 S3-Buckets, Lebenszyklusrichtlinien und regionsübergreifende Replikation
Diese Lösung erzwingt keine Lebenszykluskonfigurationen für die von ihr erstellten Buckets. Wir empfehlen Folgendes:
+ Festlegung von Lebenszykluskonfigurationen für Produktionsbereitstellungen. Einzelheiten finden Sie unter [Einstellung der Lebenszykluskonfiguration für einen Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
+ Aktivierung der [Versionierung](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) und [regionsübergreifenden Replikation](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html) für Amazon S3 S3-Buckets auf der Grundlage des Anwendungsfalls, für den die Lösung bereitgestellt wird.
## Amazon DynamoDB-Backups
Diese Lösung verwendet DynamoDB für verschiedene Zwecke (siehe [AWS-Services in dieser Lösung](architecture-details.md#aws-services-in-this-solution)). Die Lösung aktiviert keine Backups für die von ihr erstellten Tabellen. Wir empfehlen, eine Sicherungskopie dieser Funktion für Produktionsbereitstellungen zu erstellen. Weitere Informationen finden Sie unter [Sichern einer DynamoDB-Tabelle](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Backup.Tutorial.html) und [Verwenden von AWS Backup for DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/backuprestore_HowItWorksAWS.html).
## CloudWatch Amazon-Dashboard und Alarme
Die Lösung stellt ein benutzerdefiniertes Dashboard bereit, CloudWatch um Diagramme aus benutzerdefinierten veröffentlichten Metriken und AWS-Servicemetriken zu rendern. Wir empfehlen, CloudWatch [Alarme](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) zu erstellen und Benachrichtigungen hinzuzufügen, die auf dem Anwendungsfall basieren, für den die Lösung bereitgestellt wird.
## CloudWatch Amazon-Protokolle
Lambda-Protokolle sind so konfiguriert, dass sie niemals ablaufen, und API Gateway Gateway-Protokolle sind mit einem Ablauf von 10 Jahren konfiguriert. Sie können den Ablauf der jeweiligen Protokollgruppen aktualisieren, um ihn an die Aufbewahrungsrichtlinie Ihres Unternehmens anzupassen.
## Benutzerdefinierte Webdomänen mit TLS v1.2 oder höheren Zertifikaten
Die Lösung stellt eine Webbenutzeroberfläche und ein Edge-optimiertes API Gateway mithilfe von CloudFront bereit. CloudFrontDie Domain erzwingt keine Zertifikate mit TLS v1.2 oder höher. Wir empfehlen, eine benutzerdefinierte Domain mit [Amazon Route 53](https://aws.amazon.com/route53/) zu erstellen, ein Zertifikat mit [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/) zu erstellen oder ein vorhandenes Zertifikat zu verwenden, falls Ihre Organisation über eines verfügt.
Weitere Informationen finden Sie im [Amazon Route 53 Developer Guide und Choosing](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-register.html) [a minimum TLS version for a custom domain in API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-custom-domain-tls-version.html).
## Skalierung mit Amazon Kendra
Diese Lösung bietet die Möglichkeit, Amazon Kendra zu verwenden, um eine NLP-gestützte intelligente Suche in den aufgenommenen Dokumenten durchzuführen. Sie können die Kapazität von Amazon Kendra mithilfe der folgenden CloudFormation Parameter für größere Workloads erhöhen:
| Parameter | Standard | Description |
| --- | --- | --- |
| [Zusätzliche Abfragekapazität von Amazon Kendra](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-kendra-index-capacityunitsconfiguration.html#cfn-kendra-index-capacityunitsconfiguration-querycapacityunits) | `0` | Die Menge an zusätzlicher Abfragekapazität für einen Index und eine [GetQuerySuggestions](https://docs.aws.amazon.com/kendra/latest/dg/API_GetQuerySuggestions.html)Kapazität. Eine zusätzliche Kapazitätseinheit für einen Index ermöglicht ungefähr 8.000 Abfragen pro Tag. |
| [Zusätzliche Speicherkapazität von Amazon Kendra](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-kendra-index-capacityunitsconfiguration.html#cfn-kendra-index-capacityunitsconfiguration-storagecapacityunits) | `0` | Die Menge der zusätzlichen Speicherkapazität für einen Index. Eine einzelne Kapazitätseinheit bietet 30 GB Speicherplatz oder 100.000 Dokumente, je nachdem, was zuerst erreicht wird. |
| [Amazon Kendra Ausgabe](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kendra-index.html) | `Developer` | Amazon Kendra bietet Developer und Enterprise Editions zur Erstellung von Indizes. Weitere Informationen zu den Unterschieden zwischen den Amazon Kendra Editionen finden Sie unter [Amazon Kendra](https://aws.amazon.com/kendra/pricing/) — Preise. |
Um die Werte dieser CloudFormation Parameter zu ändern, wählen Sie die entsprechenden Werte zum Zeitpunkt der Stack-Bereitstellung aus. Weitere Informationen zu Abfrage- und Speicherkapazitätseinheiten finden Sie unter [Kapazität anpassen](https://docs.aws.amazon.com/kendra/latest/dg/adjusting-capacity.html).
**Anmerkung**
Wenn der Text-Anwendungsfall nicht mit aktiviertem RAG bereitgestellt wird, wird Amazon Kendra Kendra-Index verwendet oder erstellt.
## SSO mithilfe des Idp-Verbunds einrichten
Diese Lösung ermöglicht die Integration mit externen Identitätsanbietern, die einen SAML- oder OIDC-basierten Identitätsverbund unterstützen. Wenn die Lösung bereitgestellt wird, erstellt sie einen Amazon Cognito Cognito-Benutzerpool und eine individuelle App-Client-Integration für das Deployment-Dashboard und einzelne Anwendungsfälle. Folgen Sie basierend auf dem externen Idp den Schritten im Abschnitt [Konfiguration von Identitätsanbietern für Ihren Benutzerpool](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-identity-provider.html) im *Amazon Cognito Developer Guide* und wählen Sie die App-Client-Integration für das Bereitstellungs-Dashboard oder den Anwendungsfall aus, mit dem Sie SSO einrichten möchten.
Um die Benutzergruppeninformationen an Wissensdatenbanken oder Vektorspeicher in einer RAG-basierten Architektur weiterzugeben, müssen Sie Benutzergruppen aus dem externen Idp den Amazon Cognito Cognito-Benutzergruppen zuordnen. [Die Lösung bietet einen ersten [Lambda-Funktionstrigger](https://github.com/aws-solutions/generative-ai-application-builder-on-aws/tree/main/source/lambda/ext-idp-group-mapper) für das Gerüst, der der Phase vor der Token-Generierung zugeordnet werden kann.](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-lambda-pre-token-generation.html) Die Lambda-Funktion hat die Datei [group\$1mapping.json](https://github.com/aws-solutions/generative-ai-application-builder-on-aws/tree/main/source/lambda/ext-idp-group-mapper/config/group_mapping.json), die aktualisiert werden muss, um die Gruppenzuordnungen bereitzustellen. Informationen zu [Lambda-Triggern, die von Amazon Cognito unterstützt werden, finden Sie unter Benutzerpool-Workflows mit Lambda-Triggern anpassen](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools-working-with-aws-lambda-triggers.html).
## Manuelle Konfiguration des Benutzerpools
Wenn Sie während der Bereitstellung keine Administrator- oder Standardbenutzer-E-Mail weitergeben möchten, müssen Sie die entsprechenden Benutzergruppen in Amazon Cognito manuell erstellen, um die richtigen Berechtigungen sicherzustellen:
1. Erstellen Sie für das Deployment-Dashboard eine Gruppe mit dem Namen `Admin` in Ihrem Cognito-Benutzerpool.
1. Erstellen Sie für jeden Anwendungsfall eine Gruppe mit dem Namen `${UseCaseName}-Users` in Ihrem Cognito-Benutzerpool, wo `${UseCaseName}` sich der Name Ihres bereitgestellten Anwendungsfalls befindet.
Diese Gruppen sind erforderlich, damit der Autorisierungsmechanismus ordnungsgemäß funktioniert. Alle Benutzer, denen Sie Zugriff gewähren möchten, müssen den entsprechenden Gruppen hinzugefügt werden.
Wenn übergeben `placeholder@example.com` wird, wird die Cognito-Gruppe erstellt, aber Sie müssen trotzdem die zugehörigen Benutzer erstellen und sie der Gruppe zuweisen.
## Anmeldebildschirm anpassen
Diese Lösung verwendet die von [Amazon Cognito gehostete Benutzeroberfläche](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-app-integration.html) zum Rendern der Anmeldeseite. *Informationen zum Anpassen der integrierten Anmeldeseite finden Sie unter [Anpassen der integrierten Anmelde- und Registrierungswebseiten im Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-app-ui-customization.html) Developer Guide.*
## Zusätzliche Sicherheitsüberlegungen
Lesen Sie sich je nach Anwendungsfall, für den Sie die Lösung einsetzen, die folgenden Sicherheitsempfehlungen durch:
+ **Vom Kunden verwaltete AWS-KMS-Verschlüsselungsschlüssel** — Die Lösung verwendet standardmäßig von AWS verwaltete AWS-KMS-Schlüssel, da diese ohne zusätzliche Kosten erhältlich sind. Überprüfen Sie Ihren Anwendungsfall, um festzustellen, ob Sie die Lösung aktualisieren sollten, um vom [Kunden verwaltete AWS-KMS-Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) zu verwenden.
+ **Drosselungsregeln für API-Gateways** — Die Lösung wird mit Standard-Drosselungsregeln auf API Gateway bereitgestellt. Basierend auf Ihrem Anwendungsfall und dem erwarteten Transaktionsvolumen empfehlen wir Ihnen, die Drosselung für zu konfigurieren. APIs Einzelheiten finden Sie unter [Drosselung von API-Anfragen für besseren Durchsatz](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-request-throttling.html) im *Amazon API Gateway Developer Guide*.
+ **Aktivierung von AWS CloudTrail** — Als empfohlene Sicherheitsmaßnahme sollten Sie die Aktivierung von [AWS CloudTrail](https://aws.amazon.com/cloudtrail/) in dem AWS-Konto in Betracht ziehen, in dem die Lösung für die Protokollierung von API-Aufrufen im AWS-Konto bereitgestellt wird. Einzelheiten finden Sie im [ CloudTrail AWS-Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
+ **Drift-Erkennung** — Wir empfehlen, die Drift-Erkennung auf CloudFormation Stacks zu konfigurieren, um unbeabsichtigte oder böswillige Änderungen am bereitgestellten Lösungsstapel zu erkennen und darüber informiert zu werden. Einzelheiten finden Sie unter [Implementieren eines Alarms zur automatischen Erkennung von Abweichungen in CloudFormation AWS-Stacks](https://aws.amazon.com/blogs/mt/implementing-an-alarm-to-automatically-detect-drift-in-aws-cloudformation-stacks/).
+ **Cognito JSON Web Tokens (JWTs)** — Die Lösung verwendet von Amazon Cognito ausgestellte Token JWTs zur Authentifizierung bei den REST-API-Endpunkten. [https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-user-pools-using-the-id-token.html](https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-user-pools-using-the-id-token.html) Wenn sich ein Benutzer abmeldet, wird ihm die Möglichkeit, neue Token zu generieren, entzogen (das [Aktualisierungstoken](https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-user-pools-using-the-refresh-token.html) wird gesperrt). Bis zum Ablauf des aktuellen Tokens werden jedoch alle Anfragen an den API-Endpunkt erfolgreich authentifiziert, da sie über ein gültiges Token verfügen. Überprüfen Sie die Sicherheitsüberlegungen für Ihren Anwendungsfall und passen Sie die Gültigkeitsdauer des Tokens an.
**Anpassen der Lebenszyklusrichtlinien:**
Überprüfen Sie bei Produktionsbereitstellungen die Lebenszyklusrichtlinien und passen Sie sie an Ihre Aufbewahrungsanforderungen an. Weitere Informationen finden Sie unter [Einstellung der Lebenszykluskonfiguration für einen Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
## Multimodaler Dateispeicher und Lebenszyklus
Wenn Sie für Ihren Anwendungsfall multimodale Eingabefunktionen **MultimodalEnabled**(auf`Yes`) aktiviert haben, erstellt die Lösung einen Amazon S3 S3-Bucket zum Speichern hochgeladener Dateien und eine DynamoDB-Tabelle zur Nachverfolgung von Dateimetadaten.
**Standard-Lebenszyklusrichtlinien:**
+ **S3-Dateien:** Automatisch nach 48 Stunden gelöscht
+ **DynamoDB-Metadaten:** Datensätze laufen nach 24 Stunden ab (Konversationsverlauf TTL)
**Überlegungen zur Sicherheit:**
+ Dateien werden nach Anwendungsfall-ID, Benutzer-ID, Konversations-ID und Nachrichten-ID partitioniert und stattdessen wird eine Datei mit einem UUID-Namen gespeichert. Die Zuordnung der UUID zu Dateinamen ist in der DynamoDB-Metadatentabelle verfügbar.
+ Benutzer können nur auf Dateien zugreifen, die sie im Rahmen ihrer eigenen Konversationen hochgeladen haben
+ Die Überprüfung des Dateityps erfolgt mithilfe der Erkennung magischer Zahlen
+ Wir empfehlen, [Amazon GuardDuty Malware Protection for S3](https://docs.aws.amazon.com/guardduty/latest/ug/gdu-malware-protection-s3.html) zu aktivieren, um hochgeladene Dateien auf schädliche Inhalte zu scannen.