View a markdown version of this page

Étape 4 : Configuration après le déploiement - Générateur d'applications d'IA générative sur AWS
Versionnage des compartiments Amazon S3, politiques de cycle de vie et réplication entre régionsSauvegardes Amazon DynamoDBCloudWatch Tableau de bord et alarmes AmazonAmazon CloudWatch LogsDomaines Web personnalisés avec certificats TLS v1.2 ou supérieurÉvoluer avec Amazon KendraConfiguration du SSO à l'aide de la fédération IdpConfiguration manuelle du pool d'utilisateursPersonnalisation de l'écran de connexionConsidérations supplémentaires en matière de sécuritéStockage et cycle de vie des fichiers multimodaux

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 4 : Configuration après le déploiement

Cette section fournit des recommandations pour configurer la solution après le déploiement.

Versionnage des compartiments Amazon S3, politiques de cycle de vie et réplication entre régions

Cette solution n'impose pas de configurations de cycle de vie aux compartiments qu'elle crée. Nous vous recommandons la procédure suivante :

Sauvegardes Amazon DynamoDB

Cette solution utilise DynamoDB à plusieurs fins (voir les services AWS dans cette solution). La solution n'active pas les sauvegardes pour les tables qu'elle crée. Nous recommandons de créer une sauvegarde de cette fonctionnalité pour les déploiements de production. Consultez Sauvegarde d'une table DynamoDB et Utilisation d'AWS Backup pour DynamoDB pour plus de détails.

CloudWatch Tableau de bord et alarmes Amazon

La solution déploie un tableau de bord personnalisé CloudWatch pour afficher des graphiques à partir de métriques publiées personnalisées et de métriques de service AWS. Nous vous recommandons de créer des CloudWatch alarmes et d'ajouter des notifications en fonction du cas d'utilisation pour lequel la solution est déployée.

Amazon CloudWatch Logs

Les journaux Lambda sont configurés pour ne jamais expirer et les journaux API Gateway sont configurés pour une expiration de 10 ans. Vous pouvez mettre à jour l'expiration des groupes de journaux respectifs afin de l'aligner sur la politique de conservation des enregistrements de votre entreprise.

Domaines Web personnalisés avec certificats TLS v1.2 ou supérieur

La solution déploie une interface utilisateur Web et une API Gateway optimisée pour Edge à l'aide CloudFront de. CloudFrontLe domaine n'applique pas les certificats TLS v1.2 ou supérieurs. Nous vous recommandons de créer un domaine personnalisé à l'aide d'Amazon Route 53, de créer un certificat à l'aide d'AWS Certificate Manager ou d'utiliser un certificat existant si votre organisation en possède un.

Pour plus de détails, reportez-vous au guide du développeur Amazon Route 53 et à Choisir une version minimale de TLS pour un domaine personnalisé dans API Gateway.

Évoluer avec Amazon Kendra

Cette solution permet d'utiliser Amazon Kendra pour effectuer une recherche intelligente basée sur le langage naturel dans les documents ingérés. Vous pouvez augmenter la capacité d'Amazon Kendra en utilisant les CloudFormation paramètres suivants pour des charges de travail plus importantes :

Paramètre Par défaut Description

Capacité de requête supplémentaire d'Amazon Kendra

0

La quantité de capacité de requête supplémentaire pour un index et une GetQuerySuggestionscapacité. Une unité de capacité supplémentaire pour un index fournit environ 8 000 requêtes par jour.

Capacité de stockage supplémentaire d'Amazon Kendra

0

Quantité de capacité de stockage supplémentaire pour un index. Une unité de capacité unique fournit 30 Go d'espace de stockage ou 100 000 documents, selon la première éventualité.

Édition Amazon Kendra

Developer

Amazon Kendra propose des éditions Developer et Enterprise pour créer des index. Pour plus d'informations sur les différences entre les éditions Amazon Kendra, consultez les tarifs d'Amazon Kendra.

Pour modifier les valeurs de ces CloudFormation paramètres, sélectionnez les valeurs appropriées au moment du déploiement de la pile. Pour plus d'informations sur les unités de capacité de requête et de stockage, consultez la section Ajustement de la capacité.

Note

Si le cas d'utilisation du texte n'est pas déployé avec RAG activé, aucun index Amazon Kendra n'est utilisé ou créé.

Configuration du SSO à l'aide de la fédération Idp

Cette solution permet l'intégration avec des fournisseurs d'identité externes qui prennent en charge la fédération d'identité basée sur SAML ou OIDC. Lorsque la solution est déployée, elle crée un groupe d'utilisateurs Amazon Cognito et une intégration de clients d'applications individuels pour le tableau de bord de déploiement et les cas d'utilisation individuels. En fonction de l'Idp externe, suivez les étapes décrites dans la section Configuration des fournisseurs d'identité pour votre groupe d'utilisateurs du guide du développeur Amazon Cognito et choisissez l'intégration du client d'application pour le tableau de bord de déploiement ou le cas d'utilisation avec lequel vous souhaitez configurer l'authentification unique.

Pour transmettre les informations des groupes d'utilisateurs à la base de connaissances ou aux magasins vectoriels dans une architecture basée sur RAG, vous devez mapper les groupes d'utilisateurs de l'Idp externe aux groupes d'utilisateurs Amazon Cognito. La solution fournit un déclencheur initial de la fonction Lambda d'échafaudage à associer à la phase préalable à la génération du jeton. La fonction Lambda possède le fichier group_mapping.json qui doit être mis à jour pour fournir les mappages de groupes. Reportez-vous à la section Personnalisation des flux de travail des groupes d'utilisateurs avec des déclencheurs Lambda pour les déclencheurs Lambda pris en charge par Amazon Cognito.

Configuration manuelle du pool d'utilisateurs

Si vous choisissez de ne pas transmettre d'e-mail d'administrateur ou d'utilisateur par défaut lors du déploiement, vous devez créer manuellement les groupes d'utilisateurs appropriés dans Amazon Cognito afin de garantir les autorisations correctes :

  1. Pour le tableau de bord de déploiement, créez un groupe nommé Admin dans votre groupe d'utilisateurs Cognito.

  2. Pour chaque cas d'utilisation, créez un groupe nommé ${UseCaseName}-Users dans votre groupe d'utilisateurs Cognito, où ${UseCaseName} est le nom de votre cas d'utilisation déployé.

Ces groupes sont nécessaires au bon fonctionnement du mécanisme d'autorisation. Tous les utilisateurs auxquels vous souhaitez accorder l'accès doivent être ajoutés aux groupes appropriés.

En cas placeholder@example.com de réussite, le groupe Cognito sera créé, mais vous devez tout de même créer les utilisateurs associés et les affecter au groupe.

Personnalisation de l'écran de connexion

Cette solution utilise l'interface utilisateur hébergée par Amazon Cognito pour afficher la page de connexion. Pour personnaliser la page de connexion intégrée, reportez-vous à la section Personnalisation des pages Web de connexion et d'inscription intégrées dans le manuel Amazon Cognito Developer Guide.

Considérations supplémentaires en matière de sécurité

En fonction du cas d'utilisation pour lequel vous déployez la solution, consultez les recommandations de sécurité suivantes :

  • Clés de chiffrement AWS KMS gérées par le client : la solution utilise les clés AWS KMS gérées par AWS par défaut, car celles-ci sont disponibles sans frais supplémentaires. Passez en revue votre cas d'utilisation pour déterminer si vous devez mettre à jour la solution pour utiliser les clés AWS KMS gérées par le client.

  • Règles de régulation d'API Gateway : la solution est déployée avec des règles de régulation par défaut sur API Gateway. En fonction de votre cas d'utilisation et des volumes de transactions attendus, nous vous recommandons de configurer la régulation pour le. APIs Pour plus de détails, consultez les demandes d'API Throttle pour un meilleur débit dans le manuel Amazon API Gateway Developer Guide.

  • Activation d'AWS CloudTrail : comme pratique de sécurité recommandée, pensez à activer AWS CloudTrail dans le compte AWS sur lequel la solution est déployée pour consigner les appels d'API dans le compte AWS. Pour plus de détails, consultez le guide de CloudTrail l'utilisateur AWS.

  • Détection de la dérive - Nous recommandons de configurer la détection de la dérive sur les CloudFormation piles afin d'identifier et d'être averti des modifications involontaires ou malveillantes apportées à la pile de solutions déployée. Pour plus de détails, consultez Implémentation d'une alarme pour détecter automatiquement la dérive dans les CloudFormation piles AWS.

  • Jetons Web Cognito JSON (JWTs) : la solution utilise Amazon Cognito pour s'authentifier auprès des points de terminaison JWTs de l'API REST. Nous avons configuré la solution avec une expiration de cinq minutes pour les jetons d'identification et les jetons d'accès. Lorsqu'un utilisateur se déconnecte, sa capacité à générer de nouveaux jetons est révoquée (le jeton d'actualisation est révoqué). Cependant, jusqu'à l'expiration du jeton actuel, toutes les demandes adressées au point de terminaison de l'API seront authentifiées avec succès, car elles disposent d'un jeton valide. Passez en revue les considérations de sécurité relatives à votre cas d'utilisation et ajustez la période de validité du jeton.

Personnalisation des politiques de cycle de vie :

Pour les déploiements en production, passez en revue et ajustez les politiques de cycle de vie en fonction de vos exigences de rétention. Consultez la section Configuration du cycle de vie d'un bucket dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Stockage et cycle de vie des fichiers multimodaux

Si vous avez activé les fonctionnalités de saisie multimodales (MultimodalEnableddéfinies surYes) pour votre cas d'utilisation, la solution crée un compartiment Amazon S3 pour stocker les fichiers téléchargés et une table DynamoDB pour suivre les métadonnées des fichiers.

Politiques de cycle de vie par défaut :

  • Fichiers S3 : supprimés automatiquement après 48 heures

  • Métadonnées DynamoDB : les enregistrements expirent au bout de 24 heures (historique des conversations TTL)

Considérations relatives à la sécurité :

  • Les fichiers sont partitionnés par ID de cas d'utilisation, ID utilisateur, ID de conversation et ID de message et un fichier est stocké avec un nom UUID à la place. Le mappage entre l'UUID et les noms de fichiers est disponible dans la table de métadonnées DynamoDB

  • Les utilisateurs ne peuvent accéder qu'aux fichiers qu'ils ont téléchargés dans le cadre de leurs propres conversations

  • La validation du type de fichier est effectuée à l'aide de la détection de nombres magiques

  • Nous vous recommandons d'activer Amazon GuardDuty Malware Protection pour S3 afin de détecter tout contenu malveillant dans les fichiers téléchargés.