Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Gunakan agen Amazon Bedrock untuk mengotomatiskan pembuatan kontrol entri akses di Amazon EKS melalui petunjuk berbasis teks
*Keshav Ganesh dan Sudhanshu Saurav, Amazon Web Services*
## Ringkasan
Organizations menghadapi tantangan dalam mengelola kontrol akses dan penyediaan sumber daya ketika beberapa tim perlu bekerja dengan cluster Amazon Elastic Kubernetes Service (Amazon EKS) bersama. Layanan Kubernetes yang dikelola seperti Amazon EKS telah menyederhanakan operasi klaster. Namun, overhead administratif untuk mengelola akses tim dan izin sumber daya tetap kompleks dan memakan waktu.
Pola ini menunjukkan bagaimana agen Amazon Bedrock dapat membantu Anda mengotomatiskan manajemen akses klaster Amazon EKS. Otomatisasi ini memungkinkan tim pengembangan untuk fokus pada pengembangan aplikasi inti mereka daripada berurusan dengan pengaturan dan manajemen kontrol akses. Anda dapat menyesuaikan agen Amazon Bedrock untuk melakukan tindakan untuk berbagai tugas melalui petunjuk bahasa alami yang sederhana.
Dengan menggunakan AWS Lambda fungsi sebagai grup tindakan, agen Amazon Bedrock dapat menangani tugas seperti membuat entri akses pengguna dan mengelola kebijakan akses. Selain itu, agen Amazon Bedrock dapat mengonfigurasi asosiasi identitas pod yang memungkinkan akses ke sumber daya AWS Identity and Access Management (IAM) untuk pod yang berjalan di klaster. Dengan menggunakan solusi ini, organisasi dapat merampingkan administrasi klaster Amazon EKS mereka dengan petunjuk berbasis teks sederhana, mengurangi overhead manual, dan meningkatkan efisiensi pengembangan secara keseluruhan.
## Prasyarat dan batasan
**Prasyarat**
+ Aktif Akun AWS.
+ Menetapkan [peran dan izin](https://docs.aws.amazon.com/bedrock/latest/userguide/security_iam_id-based-policy-examples.html) IAM untuk proses penerapan. Ini termasuk izin untuk mengakses Amazon Bedrock foundation models (FM), membuat fungsi Lambda, dan sumber daya lain yang diperlukan di seluruh target. Akun AWS
+ [Akses diaktifkan](https://docs.aws.amazon.com/bedrock/latest/userguide/model-access.html) di aktif Akun AWS ke Amazon Bedrock ini FMs: Amazon Titan Text Embeddings V2 dan Anthropic Claude 3 Haiku.
+ AWS Command Line Interface [(AWS CLI) versi 2.9.11 atau yang lebih baru, [diinstal](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html) dan dikonfigurasi.](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)
+ [eksctl 0.194.0 atau yang lebih baru, diinstal.](https://eksctl.io/installation/)
**Batasan**
+ Pelatihan dan dokumentasi mungkin diperlukan untuk membantu memastikan kelancaran adopsi dan penggunaan teknik ini secara efektif. Menggunakan Amazon Bedrock, Amazon EKS, Lambda, OpenSearch Amazon Service, dan [OpenAPI](https://www.openapis.org/what-is-openapi) melibatkan kurva pembelajaran yang signifikan bagi pengembang dan tim. DevOps
+ Beberapa Layanan AWS tidak tersedia di semua Wilayah AWS. Untuk ketersediaan Wilayah, lihat [layanan AWS menurut Wilayah](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). Untuk titik akhir tertentu, lihat [Titik akhir dan kuota layanan](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html), dan pilih tautan untuk layanan.
## Arsitektur
Diagram berikut menunjukkan alur kerja dan komponen arsitektur untuk pola ini.
![\[Alur kerja dan komponen untuk membuat kontrol akses di Amazon EKS dengan agen Amazon Bedrock.\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/images/pattern-img/2c52b1ba-bbad-4a46-ab1e-10e69a0a66e7/images/c7981a86-f734-4c07-a2f7-63ad38b66ab6.png)
Solusi ini melakukan langkah-langkah berikut:
1. Pengguna berinteraksi dengan agen Amazon Bedrock dengan mengirimkan prompt atau kueri yang berfungsi sebagai masukan bagi agen untuk memproses dan mengambil tindakan.
1. Berdasarkan prompt, agen Amazon Bedrock memeriksa skema OpenAPI untuk mengidentifikasi API yang benar untuk ditargetkan. Jika agen Amazon Bedrock menemukan panggilan API yang benar, permintaan akan masuk ke grup tindakan yang terkait dengan fungsi Lambda yang mengimplementasikan tindakan ini.
1. Jika API yang relevan tidak ditemukan, agen Amazon Bedrock akan menanyakan koleksi tersebut OpenSearch . OpenSearch *Koleksinya menggunakan konten basis pengetahuan terindeks yang bersumber dari bucket Amazon S3 yang berisi Panduan Pengguna Amazon EKS.*
1. OpenSearch Koleksi mengembalikan informasi kontekstual yang relevan ke agen Amazon Bedrock.
1. Untuk permintaan yang dapat ditindaklanjuti (yang cocok dengan operasi API), agen Amazon Bedrock mengeksekusi dalam cloud pribadi virtual (VPC) dan memicu fungsi Lambda.
1. Fungsi Lambda melakukan tindakan yang didasarkan pada input pengguna di dalam klaster Amazon EKS.
1. Bucket Amazon S3 untuk kode Lambda menyimpan artefak yang memiliki kode dan logika yang ditulis untuk fungsi Lambda.
## Alat
**Layanan AWS**
+ [Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/what-is-bedrock.html) adalah layanan yang dikelola sepenuhnya yang membuat model foundation berkinerja tinggi (FMs) dari startup AI terkemuka dan Amazon tersedia untuk Anda gunakan melalui API terpadu.
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)membantu Anda menyiapkan AWS sumber daya, menyediakannya dengan cepat dan konsisten, dan mengelolanya sepanjang siklus hidupnya di seluruh Akun AWS dan. Wilayah AWS
+ [Amazon Elastic Kubernetes Service (Amazon](https://docs.aws.amazon.com/eks/latest/userguide/getting-started.html) EKS) membantu Anda menjalankan AWS Kubernetes tanpa perlu menginstal atau memelihara control plane atau node Kubernetes Anda sendiri.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) membantu Anda mengelola akses ke AWS sumber daya dengan aman dengan mengontrol siapa yang diautentikasi dan diberi wewenang untuk menggunakannya.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)adalah layanan komputasi yang membantu Anda menjalankan kode tanpa perlu menyediakan atau mengelola server. Ini menjalankan kode Anda hanya bila diperlukan dan skala secara otomatis, jadi Anda hanya membayar untuk waktu komputasi yang Anda gunakan.
+ [Amazon OpenSearch Service adalah layanan](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/what-is.html) terkelola yang membantu Anda menyebarkan, mengoperasikan, dan menskalakan OpenSearch klaster di. AWS Cloud Fitur koleksinya membantu Anda mengatur data dan membangun basis pengetahuan komprehensif yang dapat digunakan asisten AI seperti agen Amazon Bedrock.
+ [Amazon Simple Storage Service (Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)) adalah layanan penyimpanan objek berbasis cloud yang membantu Anda menyimpan, melindungi, dan mengambil sejumlah data.
**Alat lainnya**
+ [eksctl](https://docs.aws.amazon.com/eks/latest/userguide/getting-started-eksctl.html) adalah utilitas baris perintah untuk membuat dan mengelola cluster Kubernetes di Amazon EKS.
**Repositori kode**
Kode untuk pola ini tersedia di repositori GitHub [eks-access-controls-bedrock-agent](https://github.com/aws-samples/eks-access-controls-bedrock-agent.git).
## Praktik terbaik
+ Pertahankan keamanan setinggi mungkin saat menerapkan pola ini. Pastikan klaster Amazon EKS bersifat pribadi, memiliki izin akses terbatas, dan semua sumber daya berada di dalam cloud pribadi virtual (VPC). Untuk informasi tambahan, lihat [Praktik terbaik untuk keamanan](https://docs.aws.amazon.com/eks/latest/best-practices/security.html) dalam dokumentasi Amazon EKS.
+ Gunakan [kunci terkelola AWS KMS pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html) sedapat mungkin, dan berikan izin akses terbatas kepada mereka.
+ Ikuti prinsip hak istimewa terkecil dan berikan izin minimum yang diperlukan untuk melakukan tugas. Untuk informasi selengkapnya, lihat [Berikan hak istimewa terkecil](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#grant-least-priv) dan [praktik terbaik Keamanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam dokumentasi IAM.
## Epik
### Mengatur lingkungan
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Kloning repositori. | Untuk mengkloning repositori pola ini, jalankan perintah berikut di workstation lokal Anda:git clone https://github.com/aws-samples/eks-access-controls-bedrock-agent.git
| AWS DevOps |
| Dapatkan Akun AWS ID. | Untuk mendapatkan Akun AWS ID, gunakan langkah-langkah berikut:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html)Perintah ini menyimpan Akun AWS ID Anda dalam `AWS_ACCOUNT` variabel. | AWS DevOps |
| Buat bucket S3 untuk kode Lambda. | [Untuk menerapkan solusi ini, Anda harus membuat tiga bucket Amazon S3 yang melayani tujuan berbeda, seperti yang ditunjukkan pada diagram arsitektur.](#using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks-architecture) Bucket S3 adalah untuk kode Lambda, basis pengetahuan, dan skema OpenAPI.Untuk membuat bucket kode Lambda, gunakan langkah-langkah berikut:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html)Perintah package membuat CloudFormation template baru (`eks-access-controls-template.yaml`) yang berisi:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html) | AWS DevOps |
| Buat bucket S3 untuk basis pengetahuan. | Untuk membuat bucket Amazon S3 untuk basis pengetahuan, gunakan langkah-langkah berikut:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html) | AWS DevOps |
| Buat bucket S3 untuk skema OpenAPI. | Untuk membuat bucket Amazon S3 untuk skema OpenAPI, gunakan langkah-langkah berikut:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html) | AWS DevOps |
### Menyebarkan tumpukan CloudFormation
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Menyebarkan CloudFormation tumpukan. | Untuk menyebarkan CloudFormation tumpukan, gunakan file CloudFormation template `eks-access-controls-template.yaml` yang Anda buat sebelumnya. Untuk petunjuk selengkapnya, lihat [Membuat tumpukan dari CloudFormation konsol](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) di CloudFormation dokumentasi.Penyediaan OpenSearch indeks dengan CloudFormation template membutuhkan waktu sekitar 10 menit.Setelah tumpukan dibuat, buat catatan `VPC_ID` dan `PRIVATE_SUBNET ID` s. | AWS DevOps |
| Buat cluster Amazon EKS. | Untuk membuat cluster Amazon EKS di dalam VPC, gunakan langkah-langkah berikut:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html)Hasil yang diharapkan adalah sebagai berikut:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html) | AWS DevOps |
### Hubungkan fungsi Lambda dan kluster Amazon EKS
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Buat koneksi antara kluster Amazon EKS dan fungsi Lambda. | Untuk mengatur izin jaringan dan IAM agar fungsi Lambda dapat berkomunikasi dengan klaster Amazon EKS, gunakan langkah-langkah berikut:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html) | AWS DevOps |
### Pengujian solusi
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Uji agen Amazon Bedrock. | Sebelum menguji agen Amazon Bedrock, pastikan Anda melakukan hal berikut:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html)Untuk mengakses agen Amazon Bedrock, gunakan langkah-langkah berikut:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html)Anda juga dapat meminta agen untuk melakukan tindakan untuk asosiasi EKS Pod Identity. Untuk detail selengkapnya, lihat [Pelajari cara EKS Pod Identity memberikan akses Pod ke Layanan AWS](https://docs.aws.amazon.com/eks/latest/userguide/pod-identities.html) dalam dokumentasi Amazon EKS. | AWS DevOps |
### Bersihkan
| Tugas | Deskripsi | Keterampilan yang dibutuhkan |
| --- | --- | --- |
| Pembersihan sumber daya | Untuk membersihkan sumber daya yang dibuat pola ini, gunakan prosedur berikut. Tunggu setiap langkah penghapusan selesai sebelum melanjutkan ke langkah berikutnya.Prosedur ini akan menghapus semua sumber daya yang dibuat oleh tumpukan ini secara permanen. Pastikan Anda telah mencadangkan data penting apa pun sebelum melanjutkan.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/prescriptive-guidance/latest/patterns/using-amazon-bedrock-agents-to-automate-creation-of-access-entry-controls-in-amazon-eks.html) | AWS DevOps |
## Pemecahan masalah
| Isu | Solusi |
| --- | --- |
| Kode kesalahan bukan nol dikembalikan selama pengaturan lingkungan. | Verifikasi bahwa Anda menggunakan folder yang benar saat menjalankan perintah apa pun untuk menerapkan solusi ini. Untuk informasi selengkapnya, lihat file [First\$1Deploy.md](https://github.com/aws-samples/eks-access-controls-bedrock-agent/blob/main/FIRST_DEPLOY.md) di repositori pola ini. |
| Fungsi Lambda tidak dapat melakukan tugas. | Pastikan konektivitas diatur dengan benar dari fungsi Lambda ke cluster Amazon EKS. |
| Agen meminta tidak mengenali. APIs | Menerapkan kembali solusinya. Untuk informasi selengkapnya, lihat file [RE\$1DEPLOY.md](https://github.com/aws-samples/eks-access-controls-bedrock-agent/blob/main/RE_DEPLOY.md) di repositori pola ini. |
| Tumpukan gagal dihapus. | Upaya awal untuk menghapus tumpukan mungkin gagal. Kegagalan ini dapat terjadi karena masalah ketergantungan dengan sumber daya khusus yang dibuat untuk OpenSearch koleksi yang melakukan pengindeksan untuk basis pengetahuan. Untuk menghapus tumpukan, coba lagi operasi hapus dengan mempertahankan sumber daya kustom. |
## Sumber daya terkait
**AWS Blog**
+ [Penyelaman mendalam ke kontrol manajemen akses Amazon EKS yang disederhanakan](https://aws.amazon.com/blogs/containers/a-deep-dive-into-simplified-amazon-eks-access-management-controls/)
**Dokumentasi Amazon Bedrock**
+ [Otomatiskan tugas dalam aplikasi Anda menggunakan agen AI](https://docs.aws.amazon.com/bedrock/latest/userguide/agents.html)
+ [Bagaimana Agen Amazon Bedrock bekerja](https://docs.aws.amazon.com/bedrock/latest/userguide/agents-how.html)
+ [Menguji dan memecahkan masalah perilaku agen](https://docs.aws.amazon.com/bedrock/latest/userguide/agents-test.html)
+ [Gunakan grup tindakan untuk menentukan tindakan yang harus dilakukan agen Anda](https://docs.aws.amazon.com/bedrock/latest/userguide/agents-action-create.html)
**Dokumentasi Amazon EKS**
+ [Pelajari cara kerja kontrol akses di Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/cluster-auth.html)