View a markdown version of this page

Paso 4: Configuración posterior a la implementación - Creador de aplicaciones de IA generativa en AWS
Control de versiones de buckets de Amazon S3, políticas de ciclo de vida y replicación entre regionesCopias de seguridad de Amazon DynamoDBCloudWatch Panel de control y alarmas de AmazonAmazon CloudWatch LogsDominios web personalizados con certificados TLS v1.2 o superiorEscalar con Amazon KendraConfiguración del SSO mediante la federación de IdpConfiguración manual del grupo de usuariosPersonalización de la pantalla de inicio de sesiónConsideraciones adicionales de seguridadCiclo de vida y almacenamiento de archivos multimodales

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 4: Configuración posterior a la implementación

En esta sección se proporcionan recomendaciones para configurar la solución después de la implementación.

Control de versiones de buckets de Amazon S3, políticas de ciclo de vida y replicación entre regiones

Esta solución no impone las configuraciones del ciclo de vida de los buckets que crea. Le recomendamos lo siguiente:

Copias de seguridad de Amazon DynamoDB

Esta solución utiliza DynamoDB para varios fines (consulte los servicios de AWS en esta solución). La solución no habilita las copias de seguridad de las tablas que crea. Recomendamos crear una copia de seguridad de esta función para las implementaciones de producción. Consulte Hacer copias de seguridad de una tabla de DynamoDB y Utilizar AWS Backup for DynamoDB para obtener más información.

CloudWatch Panel de control y alarmas de Amazon

La solución implementa un panel personalizado CloudWatch para representar gráficos a partir de métricas publicadas personalizadas y métricas de servicios de AWS. Recomendamos crear CloudWatch alarmas y añadir notificaciones en función del caso de uso para el que se implemente la solución.

Amazon CloudWatch Logs

Los registros de Lambda se configuran para que no caduquen nunca y los registros de API Gateway se configuran con una caducidad de 10 años. Puede actualizar la caducidad de los grupos de registros respectivos para adaptarlos a la política de retención de registros de su empresa.

Dominios web personalizados con certificados TLS v1.2 o superior

La solución implementa una interfaz de usuario web y una API Gateway optimizada para Edge mediante CloudFront. CloudFrontSu dominio no exige certificados TLS v1.2 o superiores. Recomendamos crear un dominio personalizado con Amazon Route 53, crear un certificado con AWS Certificate Manager o usar un certificado existente si su organización tiene uno.

Para obtener más información, consulte la Guía para desarrolladores de Amazon Route 53 y Cómo elegir una versión mínima de TLS para un dominio personalizado en API Gateway.

Escalar con Amazon Kendra

Esta solución ofrece la posibilidad de utilizar Amazon Kendra para realizar búsquedas inteligentes basadas en la PNL en los documentos ingeridos. Puede aumentar la capacidad de Amazon Kendra mediante los siguientes CloudFormation parámetros para cargas de trabajo más grandes:

Parámetro Predeterminado Description (Descripción)

Capacidad de consulta adicional de Amazon Kendra

0

La cantidad de capacidad de consulta adicional para un índice y una GetQuerySuggestionscapacidad. Una unidad de capacidad adicional para un índice proporciona aproximadamente 8000 consultas por día.

Capacidad de almacenamiento adicional de Amazon Kendra

0

La cantidad de capacidad de almacenamiento adicional para un índice. Una sola unidad de capacidad proporciona 30 GB de espacio de almacenamiento o 100 000 documentos, lo que ocurra primero.

Edición Amazon Kendra

Developer

Amazon Kendra ofrece las ediciones Developer y Enterprise para crear índices. Para obtener más información sobre las diferencias entre las ediciones Amazon Kendra, consulte los precios de Amazon Kendra.

Para modificar los valores de estos CloudFormation parámetros, seleccione los valores adecuados en el momento de implementar la pila. Para obtener más información sobre las unidades de capacidad de consulta y almacenamiento, consulte Ajustar la capacidad.

nota

Si el caso de uso de Text no se implementa con RAG activado, no se utiliza ni se crea un índice de Amazon Kendra.

Configuración del SSO mediante la federación de Idp

Esta solución permite la integración con proveedores de identidad externos que admiten la federación de identidades basada en SAML u OIDC. Cuando la solución se implementa, crea un grupo de usuarios de Amazon Cognito y una integración de clientes de aplicaciones individuales para el panel de implementación y los casos de uso individuales. En función del IDP externo, siga los pasos que se indican en la sección Configuración de proveedores de identidad para su grupo de usuarios de la Guía para desarrolladores de Amazon Cognito y elija la integración entre el cliente y la aplicación para el panel de implementación o el caso de uso con el que desee configurar el SSO.

Para pasar la información del grupo de usuarios a la base de conocimientos o a los almacenes de vectores en una arquitectura basada en RAG, necesitará mapear los grupos de usuarios del IDP externo a los grupos de usuarios de Amazon Cognito. La solución proporciona un activador inicial de la función Lambda de andamiaje que se mapea con la fase previa a la generación del token. La función Lambda tiene el archivo group_mapping.json que debe actualizarse para proporcionar las asignaciones de grupos. Consulte Personalización de los flujos de trabajo de grupos de usuarios con activadores de Lambda para ver los activadores de Lambda compatibles con Amazon Cognito.

Configuración manual del grupo de usuarios

Si decide no pasar el correo electrónico de un administrador o de un usuario predeterminado durante la implementación, debe crear manualmente los grupos de usuarios correspondientes en Amazon Cognito para garantizar los permisos correctos:

  1. Para el panel de implementación, cree un grupo con un nombre Admin en su grupo de usuarios de Cognito.

  2. Para cada caso de uso, cree un grupo con un nombre ${UseCaseName}-Users en su grupo de usuarios de Cognito, donde ${UseCaseName} aparece el nombre del caso de uso implementado.

Estos grupos son necesarios para que el mecanismo de autorización funcione correctamente. Todos los usuarios a los que desee conceder acceso deben agregarse a los grupos correspondientes.

Si placeholder@example.com se aprueba, se creará el grupo de Cognito, pero deberá seguir creando los usuarios asociados y asignarlos al grupo.

Personalización de la pantalla de inicio de sesión

Esta solución utiliza la interfaz de usuario alojada en Amazon Cognito para representar la página de inicio de sesión. Para personalizar la página de inicio de sesión integrada, consulte Personalización de las páginas web de inicio de sesión y registro integradas en la Guía para desarrolladores de Amazon Cognito.

Consideraciones adicionales de seguridad

Según el caso de uso para el que implemente la solución, revise las siguientes recomendaciones de seguridad:

  • Claves de cifrado de AWS KMS administradas por el cliente: la solución utiliza las claves de AWS KMS administradas por AWS de forma predeterminada, ya que están disponibles sin coste adicional. Revise su caso de uso para determinar si debe actualizar la solución para usar claves de AWS KMS administradas por el cliente.

  • Reglas de regulación de API Gateway: la solución se implementa con las reglas de regulación predeterminadas en API Gateway. En función de su caso de uso y de los volúmenes de transacciones esperados, le recomendamos que configure la limitación para. APIs Para obtener más información, consulte las solicitudes de API Throttle para mejorar el rendimiento en la Guía para desarrolladores de Amazon API Gateway.

  • Habilitar AWS CloudTrail: como práctica de seguridad recomendada, considere habilitar AWS CloudTrail en la cuenta de AWS en la que se implementa la solución para registrar las llamadas a la API en la cuenta de AWS. Para obtener más información, consulte la Guía del CloudTrail usuario de AWS.

  • Detección de desviaciones: recomendamos configurar la detección de desviaciones en las CloudFormation pilas para identificar los cambios involuntarios o malintencionados en la pila de soluciones implementada y recibir notificaciones al respecto. Para obtener más información, consulte Implementación de una alarma para detectar automáticamente la desviación en las CloudFormation pilas de AWS.

  • Cognito JSON Web Tokens (JWTs): la solución utiliza los tokens de Amazon Cognito para autenticarse con los puntos de enlace de la API JWTs REST. Configuramos la solución con un vencimiento de cinco minutos para los tokens de identificación y los tokens de acceso. Cuando un usuario cierra sesión, se revoca su capacidad de generar nuevos tokens (se revoca el token de actualización). Sin embargo, hasta que caduque el token actual, todas las solicitudes al punto final de la API se autenticarán correctamente, ya que tienen un token válido. Revisa las consideraciones de seguridad de tu caso de uso y ajusta el período de validez del token.

Personalización de las políticas del ciclo de vida:

Para las implementaciones de producción, revise y ajuste las políticas del ciclo de vida en función de sus requisitos de retención. Consulte Establecer la configuración del ciclo de vida en un depósito en la Guía del usuario de Amazon Simple Storage Service.

Ciclo de vida y almacenamiento de archivos multimodales

Si ha activado las capacidades de entrada multimodal (MultimodalEnabledconfiguradas enYes) para su caso de uso, la solución crea un bucket de Amazon S3 para almacenar los archivos cargados y una tabla de DynamoDB para realizar un seguimiento de los metadatos de los archivos.

Políticas de ciclo de vida predeterminadas:

  • Archivos S3: se eliminan automáticamente después de 48 horas

  • Metadatos de DynamoDB: los registros caducan después de 24 horas (historial de conversaciones TTL)

Consideraciones de seguridad:

  • Los archivos se dividen por ID de caso de uso, ID de usuario, ID de conversación e ID de mensaje y, en su lugar, un archivo se almacena con un nombre UUID. La asignación del UUID a los nombres de los archivos está disponible en la tabla de metadatos de DynamoDB.

  • Los usuarios solo pueden acceder a los archivos que hayan subido en sus propias conversaciones

  • La validación del tipo de archivo se realiza mediante la detección de números mágicos

  • Recomendamos activar Amazon GuardDuty Malware Protection for S3 para analizar los archivos cargados en busca de contenido malicioso.