Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisez les agents Amazon Bedrock pour automatiser la création de contrôles d'accès dans Amazon EKS via des instructions textuelles
*Keshav Ganesh et Sudhanshu Saurav, Amazon Web Services*
## Résumé
Organisations rencontrent des difficultés en matière de gestion des contrôles d'accès et de mise à disposition des ressources lorsque plusieurs équipes doivent travailler avec un cluster Amazon Elastic Kubernetes Service (Amazon EKS) partagé. Un service Kubernetes géré tel qu'Amazon EKS a simplifié les opérations de cluster. Cependant, la charge administrative liée à la gestion de l'accès des équipes et des autorisations relatives aux ressources reste complexe et chronophage.
Ce modèle montre comment les agents Amazon Bedrock peuvent vous aider à automatiser la gestion des accès aux clusters Amazon EKS. Cette automatisation permet aux équipes de développement de se concentrer sur le développement de leurs applications principales plutôt que de s'occuper de la configuration et de la gestion du contrôle d'accès. Vous pouvez personnaliser un agent Amazon Bedrock pour effectuer des actions pour une grande variété de tâches à l'aide de simples instructions en langage naturel.
En utilisant AWS Lambda des fonctions sous forme de groupes d'actions, un agent Amazon Bedrock peut gérer des tâches telles que la création d'entrées d'accès utilisateur et la gestion des politiques d'accès. En outre, un agent Amazon Bedrock peut configurer des associations d'identité de pods qui permettent l'accès aux ressources Gestion des identités et des accès AWS (IAM) pour les pods exécutés dans le cluster. Grâce à cette solution, les entreprises peuvent rationaliser l'administration de leur cluster Amazon EKS à l'aide de simples instructions textuelles, réduire les frais manuels et améliorer l'efficacité globale du développement.
## Conditions préalables et limitations
**Conditions préalables**
+ Un actif Compte AWS.
+ [Rôles et autorisations](https://docs.aws.amazon.com/bedrock/latest/userguide/security_iam_id-based-policy-examples.html) IAM établis pour le processus de déploiement. Cela inclut les autorisations pour accéder aux modèles Amazon Bedrock Foundation (FM), créer des fonctions Lambda et toute autre ressource requise sur l'ensemble de la cible. Comptes AWS
+ [Accès activé](https://docs.aws.amazon.com/bedrock/latest/userguide/model-access.html) en mode actif Compte AWS à ces Amazon Bedrock FMs : Amazon Titan Text Embeddings V2 et Anthropic Claude 3 Haiku.
+ AWS Command Line Interface [(AWS CLI) version 2.9.11 ou ultérieure, [installée et configurée](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)
+ [eksctl 0.194.0 ou version ultérieure, installé.](https://eksctl.io/installation/)
**Limites**
+ Une formation et de la documentation peuvent être nécessaires pour garantir une adoption harmonieuse et une utilisation efficace de ces techniques. L'utilisation d'Amazon Bedrock, Amazon EKS, Lambda, OpenSearch Amazon Service et [OpenAPI](https://www.openapis.org/what-is-openapi) implique une période d'apprentissage importante pour les développeurs et les équipes. DevOps
+ Certains Services AWS ne sont pas disponibles du tout Régions AWS. Pour connaître la disponibilité par région, consultez la section [Services AWS par région](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). Pour des points de terminaison spécifiques, consultez [Points de terminaison de service et quotas](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html), puis choisissez le lien correspondant au service.
## Architecture
Le schéma suivant montre les composants du flux de travail et de l'architecture de ce modèle.
![\[Flux de travail et composants permettant de créer des contrôles d'accès dans Amazon EKS avec les agents Amazon Bedrock.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/2c52b1ba-bbad-4a46-ab1e-10e69a0a66e7/images/c7981a86-f734-4c07-a2f7-63ad38b66ab6.png)
Cette solution exécute les étapes suivantes :
1. L'utilisateur interagit avec l'agent Amazon Bedrock en soumettant une invite ou une requête qui sert de saisie à l'agent pour qu'il puisse traiter et prendre des mesures.
1. Sur la base de l'invite, l'agent Amazon Bedrock vérifie le schéma OpenAPI pour identifier l'API correcte à cibler. Si l'agent Amazon Bedrock trouve le bon appel d'API, la demande est envoyée au groupe d'actions associé à la fonction Lambda qui implémente ces actions.
1. Si aucune API pertinente n'est trouvée, l'agent Amazon Bedrock interroge la OpenSearch collection. La OpenSearch collection utilise le contenu indexé de la base de connaissances provenant du compartiment Amazon S3 qui contient le *guide de l'utilisateur Amazon EKS*.
1. La OpenSearch collection renvoie des informations contextuelles pertinentes à l'agent Amazon Bedrock.
1. Pour les demandes exploitables (celles qui correspondent à une opération d'API), l'agent Amazon Bedrock s'exécute dans un cloud privé virtuel (VPC) et déclenche la fonction Lambda.
1. La fonction Lambda exécute une action basée sur les entrées de l'utilisateur dans le cluster Amazon EKS.
1. Le compartiment Amazon S3 pour le code Lambda stocke l'artefact dans lequel le code et la logique ont été écrits pour la fonction Lambda.
## Outils
**Services AWS**
+ [Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/what-is-bedrock.html) est un service entièrement géré qui met à votre disposition des modèles de base très performants (FMs) issus des principales startups d'IA et d'Amazon via une API unifiée.
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)vous aide à configurer les AWS ressources, à les approvisionner rapidement et de manière cohérente, et à les gérer tout au long de leur cycle de vie à travers Comptes AWS et Régions AWS.
+ [Amazon Elastic Kubernetes Service (Amazon](https://docs.aws.amazon.com/eks/latest/userguide/getting-started.html) EKS) vous permet d'exécuter AWS Kubernetes sans avoir à installer ou à gérer votre propre plan de contrôle ou vos propres nœuds Kubernetes.
+ [Gestion des identités et des accès AWS (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) vous aide à gérer en toute sécurité l'accès à vos AWS ressources en contrôlant qui est authentifié et autorisé à les utiliser.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) est un service de calcul qui vous aide à exécuter du code sans avoir à allouer ni à gérer des serveurs. Il exécute votre code uniquement lorsque cela est nécessaire et évolue automatiquement, de sorte que vous ne payez que pour le temps de calcul que vous utilisez.
+ [Amazon OpenSearch Service](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/what-is.html) est un service géré qui vous aide à déployer, exploiter et faire évoluer OpenSearch des clusters dans le AWS Cloud. Sa fonctionnalité de collecte vous aide à organiser vos données et à créer des bases de connaissances complètes que les assistants d'intelligence artificielle tels que les agents Amazon Bedrock peuvent utiliser.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) est un service de stockage d'objets basé sur le cloud qui vous permet de stocker, de protéger et de récupérer n'importe quel volume de données.
**Autres outils**
+ [eksctl](https://docs.aws.amazon.com/eks/latest/userguide/getting-started-eksctl.html) est un utilitaire de ligne de commande permettant de créer et de gérer des clusters Kubernetes sur Amazon EKS.
**Référentiel de code**
Le code de ce modèle est disponible dans le référentiel GitHub [eks-access-controls-bedrock-agent](https://github.com/aws-samples/eks-access-controls-bedrock-agent.git).
## Bonnes pratiques
+ Maintenez le niveau de sécurité le plus élevé possible lors de la mise en œuvre de ce modèle. Assurez-vous que le cluster Amazon EKS est privé, qu'il dispose d'autorisations d'accès limitées et que toutes les ressources se trouvent dans un cloud privé virtuel (VPC). Pour plus d'informations, consultez les [meilleures pratiques en matière de sécurité](https://docs.aws.amazon.com/eks/latest/best-practices/security.html) dans la documentation Amazon EKS.
+ Utilisez des [clés gérées par le AWS KMS client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) dans la mesure du possible et accordez-leur des autorisations d'accès limitées.
+ Respectez le principe du moindre privilège et accordez les autorisations minimales requises pour effectuer une tâche. Pour plus d'informations, consultez les sections [Accorder le moindre privilège](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#grant-least-priv) et [Bonnes pratiques en matière de sécurité](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans la documentation IAM.
## Épopées
### Configuration de l'environnement
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Pour cloner le référentiel. | Pour cloner le dépôt de ce modèle, exécutez la commande suivante sur votre station de travail locale :git clone https://github.com/aws-samples/eks-access-controls-bedrock-agent.git
| AWS DevOps |
| Obtenez la Compte AWS pièce d'identité. | Pour obtenir l' Compte AWS identifiant, procédez comme suit :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html)Cette commande enregistre votre Compte AWS identifiant dans la `AWS_ACCOUNT` variable. | AWS DevOps |
| Créez le compartiment S3 pour le code Lambda. | Pour implémenter cette solution, vous devez créer trois compartiments Amazon S3 ayant des objectifs différents, comme indiqué dans le schéma [d'architecture](#using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks-architecture). Les compartiments S3 sont destinés au code Lambda, à une base de connaissances et au schéma OpenAPI.Pour créer le bucket de code Lambda, procédez comme suit :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html)La commande package crée un nouveau CloudFormation modèle (`eks-access-controls-template.yaml`) qui contient :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html) | AWS DevOps |
| Créez le compartiment S3 pour la base de connaissances. | Pour créer le compartiment Amazon S3 pour la base de connaissances, procédez comme suit :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html) | AWS DevOps |
| Créez le compartiment S3 pour le schéma OpenAPI. | Pour créer le compartiment Amazon S3 pour le schéma OpenAPI, procédez comme suit :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html) | AWS DevOps |
### Déployez la CloudFormation pile
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Déployez la CloudFormation pile. | Pour déployer la CloudFormation pile, utilisez le fichier CloudFormation modèle `eks-access-controls-template.yaml` que vous avez créé précédemment. Pour des instructions plus détaillées, consultez la section [Créer une pile à partir de la CloudFormation console](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) dans la CloudFormation documentation.Le provisionnement de l' OpenSearch index avec le CloudFormation modèle prend environ 10 minutes.Une fois la pile créée, notez les `VPC_ID` et `PRIVATE_SUBNET ID` s. | AWS DevOps |
| Créez le cluster Amazon EKS. | Pour créer le cluster Amazon EKS au sein du VPC, procédez comme suit :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html)Les résultats attendus sont les suivants :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html) | AWS DevOps |
### Connect la fonction Lambda et le cluster Amazon EKS
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Créez une connexion entre le cluster Amazon EKS et la fonction Lambda. | Pour configurer les autorisations réseau et IAM afin de permettre à la fonction Lambda de communiquer avec le cluster Amazon EKS, procédez comme suit :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html) | AWS DevOps |
### Tester la solution
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Testez l'agent Amazon Bedrock. | Avant de tester l'agent Amazon Bedrock, assurez-vous de suivre les étapes suivantes :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html)Pour accéder à l'agent Amazon Bedrock, procédez comme suit :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html)Vous pouvez également demander à l'agent d'effectuer des actions pour les associations EKS Pod Identity. Pour plus de détails, consultez la documentation Amazon [EKS pour savoir comment EKS Pod Identity autorise l'accès aux Services AWS pods](https://docs.aws.amazon.com/eks/latest/userguide/pod-identities.html). | AWS DevOps |
### Nettoyage
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| nettoyer les ressources. | Pour nettoyer les ressources créées par ce modèle, procédez comme suit. Attendez que chaque étape de suppression soit terminée avant de passer à l'étape suivante.Cette procédure supprimera définitivement toutes les ressources créées par ces piles. Assurez-vous d'avoir sauvegardé toutes les données importantes avant de continuer.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html) | AWS DevOps |
## Résolution des problèmes
| Problème | Solution |
| --- | --- |
| Un code d'erreur différent de zéro est renvoyé lors de la configuration de l'environnement. | Vérifiez que vous utilisez le bon dossier lorsque vous exécutez une commande pour déployer cette solution. Pour plus d'informations, consultez le fichier [First\$1Deploy.md dans le référentiel](https://github.com/aws-samples/eks-access-controls-bedrock-agent/blob/main/FIRST_DEPLOY.md) de ce modèle. |
| La fonction Lambda n'est pas en mesure d'effectuer cette tâche. | Assurez-vous que la connectivité est correctement configurée entre la fonction Lambda et le cluster Amazon EKS. |
| Les instructions de l'agent ne reconnaissent pas le APIs. | Redéployez la solution. Pour plus d'informations, consultez le fichier [RE\$1Deploy.md dans le référentiel](https://github.com/aws-samples/eks-access-controls-bedrock-agent/blob/main/RE_DEPLOY.md) de ce modèle. |
| La pile ne parvient pas à être supprimée. | Une première tentative de suppression de la pile peut échouer. Cet échec peut se produire en raison de problèmes de dépendance avec la ressource personnalisée créée pour la OpenSearch collection qui effectue l'indexation de la base de connaissances. Pour supprimer la pile, réessayez l'opération de suppression en conservant la ressource personnalisée. |
## Ressources connexes
**AWS Blogue**
+ [Présentation approfondie des contrôles de gestion d'accès simplifiés d'Amazon EKS](https://aws.amazon.com/blogs/containers/a-deep-dive-into-simplified-amazon-eks-access-management-controls/)
**Documentation Amazon Bedrock**
+ [Automatisez les tâches de votre application à l'aide d'agents IA](https://docs.aws.amazon.com/bedrock/latest/userguide/agents.html)
+ [Comment fonctionne Amazon Bedrock Agents](https://docs.aws.amazon.com/bedrock/latest/userguide/agents-how.html)
+ [Tester et résoudre les problèmes liés au comportement des agents](https://docs.aws.amazon.com/bedrock/latest/userguide/agents-test.html)
+ [Utilisez des groupes d'actions pour définir les actions à exécuter par votre agent](https://docs.aws.amazon.com/bedrock/latest/userguide/agents-action-create.html)
**Documentation Amazon EKS**
+ [Découvrez le fonctionnement du contrôle d’accès dans Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/cluster-auth.html)