View a markdown version of this page

Langkah 4: Konfigurasi pasca-penyebaran - Pembuat Aplikasi AI Generatif di AWS
Pembuatan versi bucket Amazon S3, kebijakan siklus hidup, dan replikasi lintas wilayahPencadangan Amazon DynamoDBCloudWatch Dasbor dan alarm AmazonCloudWatch Log AmazonDomain web khusus dengan TLS v1.2 atau sertifikat yang lebih tinggiPenskalaan dengan Amazon KendraMenyiapkan SSO menggunakan federasi IdpKonfigurasi User Pool ManualMenyesuaikan layar loginPertimbangan keamanan tambahanPenyimpanan file multimodal dan siklus hidup

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Langkah 4: Konfigurasi pasca-penyebaran

Bagian ini memberikan rekomendasi untuk mengonfigurasi solusi setelah penerapan.

Pembuatan versi bucket Amazon S3, kebijakan siklus hidup, dan replikasi lintas wilayah

Solusi ini tidak menerapkan konfigurasi siklus hidup pada bucket yang dibuatnya. Sebaiknya lakukan hal berikut:

Pencadangan Amazon DynamoDB

Solusi ini menggunakan DynamoDB untuk beberapa tujuan (lihat layanan AWS dalam solusi ini). Solusinya tidak mengaktifkan cadangan untuk tabel yang dibuatnya. Sebaiknya buat cadangan fitur ini untuk penerapan produksi. Lihat Mencadangkan tabel DynamoDB dan Menggunakan AWS Backup untuk DynamoDB untuk detailnya.

CloudWatch Dasbor dan alarm Amazon

Solusi ini menerapkan dasbor khusus CloudWatch untuk merender bagan dari metrik yang dipublikasikan khusus dan metrik layanan AWS. Sebaiknya buat CloudWatch alarm dan tambahkan notifikasi berdasarkan kasus penggunaan yang solusinya digunakan.

CloudWatch Log Amazon

Log Lambda dikonfigurasi agar tidak pernah kedaluwarsa dan log API Gateway dikonfigurasi dengan masa kadaluwarsa 10 tahun. Anda dapat memperbarui kedaluwarsa grup log masing-masing agar selaras dengan kebijakan penyimpanan catatan perusahaan Anda.

Domain web khusus dengan TLS v1.2 atau sertifikat yang lebih tinggi

Solusinya menggunakan UI web dan Edge Optimized API Gateway. CloudFront CloudFrontdomain tidak memberlakukan TLS v1.2 atau sertifikat yang lebih tinggi. Sebaiknya buat domain kustom menggunakan Amazon Route 53, membuat sertifikat menggunakan AWS Certificate Manager, atau menggunakan sertifikat yang ada jika organisasi Anda memilikinya.

Untuk detail tambahan, lihat Panduan Pengembang Amazon Route 53 dan Memilih versi TLS minimum untuk domain kustom di API Gateway.

Penskalaan dengan Amazon Kendra

Solusi ini memberikan kemampuan untuk menggunakan Amazon Kendra untuk melakukan pencarian cerdas bertenaga NLP di seluruh dokumen yang dicerna. Anda dapat meningkatkan kapasitas Amazon Kendra menggunakan CloudFormation parameter berikut untuk beban kerja yang lebih besar:

Parameter Default Deskripsi

Amazon Kendra kapasitas kueri tambahan

0

Jumlah kapasitas kueri ekstra untuk indeks dan GetQuerySuggestionskapasitas. Unit kapasitas tambahan untuk indeks menyediakan sekitar 8.000 kueri per hari.

Amazon Kendra kapasitas penyimpanan tambahan

0

Jumlah kapasitas penyimpanan tambahan untuk indeks. Unit kapasitas tunggal menyediakan 30 GB ruang penyimpanan atau 100.000 dokumen, mana yang mencapai lebih dulu.

Edisi Amazon Kendra

Developer

Amazon Kendra menyediakan Edisi Pengembang dan Perusahaan untuk membuat indeks. Untuk informasi lebih lanjut tentang perbedaan antara Edisi Amazon Kendra, lihat harga Amazon Kendra.

Untuk memodifikasi nilai CloudFormation parameter ini, pilih nilai yang sesuai pada saat penyebaran tumpukan. Untuk informasi selengkapnya tentang unit kueri dan kapasitas penyimpanan, lihat Menyesuaikan kapasitas.

catatan

Jika kasus penggunaan Teks tidak diterapkan dengan RAG diaktifkan, maka indeks Amazon Kendra tidak digunakan atau dibuat.

Menyiapkan SSO menggunakan federasi Idp

Solusi ini memungkinkan integrasi dengan penyedia identitas eksternal yang mendukung federasi identitas berbasis SAMP atau OIDC. Saat solusi diterapkan, solusi akan membuat kumpulan pengguna Amazon Cognito dan integrasi klien aplikasi individual untuk dasbor Deployment dan kasus penggunaan individual. Berdasarkan Idp eksternal, ikuti langkah-langkah yang disediakan di bagian Mengonfigurasi penyedia identitas untuk kumpulan pengguna Anda di Panduan Pengembang Amazon Cognito dan pilih integrasi klien aplikasi untuk dasbor Deployment atau kasus penggunaan yang ingin Anda setel dengan SSO.

Untuk meneruskan informasi grup pengguna ke basis pengetahuan atau penyimpanan vektor dalam arsitektur berbasis RAG, Anda perlu memetakan grup pengguna dari grup pengguna Idp eksternal ke Amazon Cognito. Solusinya menyediakan pemicu fungsi Lambda perancah awal untuk dipetakan dengan fase pembuatan token pra. Fungsi Lambda memiliki file group_mapping.json yang harus diperbarui untuk menyediakan pemetaan grup. Lihat Menyesuaikan alur kerja kumpulan pengguna dengan pemicu Lambda untuk pemicu Lambda yang didukung oleh Amazon Cognito.

Konfigurasi User Pool Manual

Jika Anda memilih untuk tidak meneruskan Admin atau email pengguna default selama penerapan, Anda harus membuat grup pengguna yang sesuai secara manual di Amazon Cognito untuk memastikan izin yang benar:

  1. Untuk dasbor Deployment, buat grup bernama Admin di kumpulan pengguna Cognito Anda.

  2. Untuk setiap kasus penggunaan, buat grup bernama ${UseCaseName}-Users di kumpulan pengguna Cognito Anda, di mana ${UseCaseName} nama kasus penggunaan yang Anda gunakan.

Kelompok-kelompok ini diperlukan agar mekanisme otorisasi berfungsi dengan benar. Setiap pengguna yang ingin Anda berikan akses harus ditambahkan ke grup yang sesuai.

Jika placeholder@example.com diteruskan, grup Cognito akan dibuat, tetapi Anda masih harus membuat pengguna terkait dan menetapkannya ke grup.

Menyesuaikan layar login

Solusi ini menggunakan UI yang dihosting Amazon Cognito untuk merender halaman login. Untuk menyesuaikan halaman login bawaan, lihat Menyesuaikan halaman web masuk dan pendaftaran bawaan di Panduan Pengembang Amazon Cognito.

Pertimbangan keamanan tambahan

Berdasarkan kasus penggunaan yang Anda gunakan solusinya, tinjau rekomendasi keamanan berikut:

  • Kunci enkripsi AWS KMS yang dikelola pelanggan - Solusinya menggunakan kunci AWS KMS yang dikelola AWS secara default, karena ini tersedia tanpa biaya tambahan. Tinjau kasus penggunaan Anda untuk menentukan apakah Anda harus memperbarui solusi untuk menggunakan kunci AWS KMS yang dikelola pelanggan.

  • Aturan pelambatan API Gateway - Solusinya diterapkan dengan aturan pembatasan default pada API Gateway. Berdasarkan kasus penggunaan dan volume transaksi yang diharapkan, kami menyarankan Anda mengonfigurasi pelambatan untuk. APIs Untuk detailnya, lihat Permintaan Throttle API untuk throughput yang lebih baik di Panduan Pengembang Amazon API Gateway.

  • Mengaktifkan AWS CloudTrail - Sebagai praktik keamanan yang direkomendasikan, pertimbangkan untuk mengaktifkan AWS CloudTrail di akun AWS tempat solusi diterapkan untuk mencatat panggilan API di akun AWS. Untuk detailnya, lihat Panduan CloudTrail Pengguna AWS.

  • Deteksi drift - Sebaiknya konfigurasi deteksi drift pada CloudFormation tumpukan untuk mengidentifikasi dan diberi tahu tentang perubahan yang tidak disengaja atau berbahaya pada tumpukan solusi yang diterapkan. Untuk detailnya, lihat Menerapkan alarm untuk mendeteksi drift di CloudFormation tumpukan AWS secara otomatis.

  • Cognito JSON Web Tokens (JWTs) - Solusinya menggunakan Amazon Cognito yang dikeluarkan JWTs untuk mengautentikasi dengan titik akhir REST API. Kami mengonfigurasi solusi dengan kedaluwarsa lima menit untuk token ID dan token akses. Saat pengguna log out, kemampuan mereka untuk menghasilkan token baru dicabut (token penyegaran dicabut). Namun, hingga token saat ini berakhir, setiap permintaan ke titik akhir API akan berhasil diautentikasi, karena mereka memiliki token yang valid. Tinjau pertimbangan keamanan untuk kasus penggunaan Anda dan sesuaikan periode validitas token.

Menyesuaikan kebijakan siklus hidup:

Untuk penerapan produksi, tinjau dan sesuaikan kebijakan siklus hidup berdasarkan persyaratan retensi Anda. Lihat Menyetel konfigurasi siklus hidup pada bucket di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Penyimpanan file multimodal dan siklus hidup

Jika Anda mengaktifkan kemampuan input multimodal (MultimodalEnableddisetel keYes) untuk kasus penggunaan, solusinya akan membuat bucket Amazon S3 untuk menyimpan file yang diunggah dan tabel DynamoDB untuk melacak metadata file.

Kebijakan siklus hidup default:

  • File S3: Secara otomatis dihapus setelah 48 jam

  • Metadata DynamoDB: Rekaman kedaluwarsa setelah 24 jam (riwayat percakapan TTL)

Pertimbangan keamanan:

  • File dipartisi berdasarkan ID kasus penggunaan, ID pengguna, ID percakapan dan ID pesan dan file disimpan dengan nama UUID sebagai gantinya. Pemetaan untuk UUID ke nama file tersedia di tabel metadata DynamoDB

  • Pengguna hanya dapat mengakses file yang mereka unggah dalam percakapan mereka sendiri

  • Validasi tipe file dilakukan dengan menggunakan deteksi angka ajaib

  • Sebaiknya aktifkan Amazon GuardDuty Malware Protection for S3 untuk memindai file yang diunggah dari konten berbahaya