Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Langkah 4: Konfigurasi pasca-penyebaran
<a name="step-4-post-deployment-configuration"></a>

Bagian ini memberikan rekomendasi untuk mengonfigurasi solusi setelah penerapan.

## Pembuatan versi bucket Amazon S3, kebijakan siklus hidup, dan replikasi lintas wilayah
<a name="amazon-s3-bucket-versioning-lifecycle-policies-and-cross-region-replication"></a>

Solusi ini tidak menerapkan konfigurasi siklus hidup pada bucket yang dibuatnya. Sebaiknya lakukan hal berikut:
+ Menyetel konfigurasi siklus hidup untuk penerapan produksi. Untuk detailnya, lihat [Menyetel konfigurasi siklus hidup pada bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.
+ Mengaktifkan [pembuatan versi](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) dan [replikasi lintas wilayah untuk](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html) bucket Amazon S3 berdasarkan kasus penggunaan solusi yang digunakan.

## Pencadangan Amazon DynamoDB
<a name="amazon-dynamodb-backups"></a>

Solusi ini menggunakan DynamoDB untuk beberapa tujuan (lihat [layanan AWS dalam](architecture-details.md#aws-services-in-this-solution) solusi ini). Solusinya tidak mengaktifkan cadangan untuk tabel yang dibuatnya. Sebaiknya buat cadangan fitur ini untuk penerapan produksi. Lihat [Mencadangkan tabel DynamoDB dan Menggunakan AWS Backup untuk DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Backup.Tutorial.html) [untuk](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/backuprestore_HowItWorksAWS.html) detailnya.

## CloudWatch Dasbor dan alarm Amazon
<a name="amazon-cloudwatch-dashboard-and-alarms"></a>

Solusi ini menerapkan dasbor khusus CloudWatch untuk merender bagan dari metrik yang dipublikasikan khusus dan metrik layanan AWS. Sebaiknya buat CloudWatch [alarm](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) dan tambahkan notifikasi berdasarkan kasus penggunaan yang solusinya digunakan.

## CloudWatch Log Amazon
<a name="amazon-cloudwatch-logs"></a>

Log Lambda dikonfigurasi agar tidak pernah kedaluwarsa dan log API Gateway dikonfigurasi dengan masa kadaluwarsa 10 tahun. Anda dapat memperbarui kedaluwarsa grup log masing-masing agar selaras dengan kebijakan penyimpanan catatan perusahaan Anda.

## Domain web khusus dengan TLS v1.2 atau sertifikat yang lebih tinggi
<a name="custom-web-domains-with-tls-v1.2-or-higher-certificates"></a>

Solusinya menggunakan UI web dan Edge Optimized API Gateway. CloudFront CloudFrontdomain tidak memberlakukan TLS v1.2 atau sertifikat yang lebih tinggi. Sebaiknya buat domain kustom menggunakan [Amazon Route 53](https://aws.amazon.com/route53/), membuat sertifikat menggunakan [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/), atau menggunakan sertifikat yang ada jika organisasi Anda memilikinya.

Untuk detail tambahan, lihat [Panduan Pengembang Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-register.html) dan [Memilih versi TLS minimum untuk domain kustom di API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-custom-domain-tls-version.html).

## Penskalaan dengan Amazon Kendra
<a name="scaling-with-amazon-kendra"></a>

Solusi ini memberikan kemampuan untuk menggunakan Amazon Kendra untuk melakukan pencarian cerdas bertenaga NLP di seluruh dokumen yang dicerna. Anda dapat meningkatkan kapasitas Amazon Kendra menggunakan CloudFormation parameter berikut untuk beban kerja yang lebih besar:


| Parameter | Default | Deskripsi | 
| --- | --- | --- | 
|   [Amazon Kendra kapasitas kueri tambahan](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-kendra-index-capacityunitsconfiguration.html#cfn-kendra-index-capacityunitsconfiguration-querycapacityunits)   |   `0`   |  Jumlah kapasitas kueri ekstra untuk indeks dan [GetQuerySuggestions](https://docs.aws.amazon.com/kendra/latest/dg/API_GetQuerySuggestions.html)kapasitas. Unit kapasitas tambahan untuk indeks menyediakan sekitar 8.000 kueri per hari.  | 
|   [Amazon Kendra kapasitas penyimpanan tambahan](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-kendra-index-capacityunitsconfiguration.html#cfn-kendra-index-capacityunitsconfiguration-storagecapacityunits)   |   `0`   |  Jumlah kapasitas penyimpanan tambahan untuk indeks. Unit kapasitas tunggal menyediakan 30 GB ruang penyimpanan atau 100.000 dokumen, mana yang mencapai lebih dulu.  | 
|   [Edisi Amazon Kendra](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kendra-index.html)   |   `Developer`   |  Amazon Kendra menyediakan Edisi Pengembang dan Perusahaan untuk membuat indeks. [Untuk informasi lebih lanjut tentang perbedaan antara Edisi Amazon Kendra, lihat harga Amazon Kendra.](https://aws.amazon.com/kendra/pricing/)  | 

Untuk memodifikasi nilai CloudFormation parameter ini, pilih nilai yang sesuai pada saat penyebaran tumpukan. Untuk informasi selengkapnya tentang unit kueri dan kapasitas penyimpanan, lihat [Menyesuaikan kapasitas](https://docs.aws.amazon.com/kendra/latest/dg/adjusting-capacity.html).

**catatan**  
Jika kasus penggunaan Teks tidak diterapkan dengan RAG diaktifkan, maka indeks Amazon Kendra tidak digunakan atau dibuat.

## Menyiapkan SSO menggunakan federasi Idp
<a name="setting-up-sso-using-idp-federation"></a>

Solusi ini memungkinkan integrasi dengan penyedia identitas eksternal yang mendukung federasi identitas berbasis SAMP atau OIDC. Saat solusi diterapkan, solusi akan membuat kumpulan pengguna Amazon Cognito dan integrasi klien aplikasi individual untuk dasbor Deployment dan kasus penggunaan individual. Berdasarkan Idp eksternal, ikuti langkah-langkah yang disediakan di bagian [Mengonfigurasi penyedia identitas untuk kumpulan pengguna Anda](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-identity-provider.html) di Panduan *Pengembang Amazon Cognito* dan pilih integrasi klien aplikasi untuk dasbor Deployment atau kasus penggunaan yang ingin Anda setel dengan SSO.

Untuk meneruskan informasi grup pengguna ke basis pengetahuan atau penyimpanan vektor dalam arsitektur berbasis RAG, Anda perlu memetakan grup pengguna dari grup pengguna Idp eksternal ke Amazon Cognito. [Solusinya menyediakan pemicu fungsi [Lambda](https://github.com/aws-solutions/generative-ai-application-builder-on-aws/tree/main/source/lambda/ext-idp-group-mapper) perancah awal untuk dipetakan dengan fase pembuatan token pra.](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-lambda-pre-token-generation.html) Fungsi Lambda memiliki file [group\$1mapping.json](https://github.com/aws-solutions/generative-ai-application-builder-on-aws/tree/main/source/lambda/ext-idp-group-mapper/config/group_mapping.json) yang harus diperbarui untuk menyediakan pemetaan grup. Lihat [Menyesuaikan alur kerja kumpulan pengguna dengan pemicu Lambda untuk pemicu Lambda](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools-working-with-aws-lambda-triggers.html) yang didukung oleh Amazon Cognito.

## Konfigurasi User Pool Manual
<a name="manual-user-pool-configuration"></a>

Jika Anda memilih untuk tidak meneruskan Admin atau email pengguna default selama penerapan, Anda harus membuat grup pengguna yang sesuai secara manual di Amazon Cognito untuk memastikan izin yang benar:

1. Untuk dasbor Deployment, buat grup bernama `Admin` di kumpulan pengguna Cognito Anda.

1. Untuk setiap kasus penggunaan, buat grup bernama `${UseCaseName}-Users` di kumpulan pengguna Cognito Anda, di mana `${UseCaseName}` nama kasus penggunaan yang Anda gunakan.

Kelompok-kelompok ini diperlukan agar mekanisme otorisasi berfungsi dengan benar. Setiap pengguna yang ingin Anda berikan akses harus ditambahkan ke grup yang sesuai.

Jika `placeholder@example.com` diteruskan, grup Cognito akan dibuat, tetapi Anda masih harus membuat pengguna terkait dan menetapkannya ke grup.

## Menyesuaikan layar login
<a name="customizing-login-screen"></a>

Solusi ini menggunakan [UI yang dihosting Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-app-integration.html) untuk merender halaman login. *Untuk menyesuaikan halaman login bawaan, lihat [Menyesuaikan halaman web masuk dan pendaftaran bawaan di Panduan Pengembang](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-app-ui-customization.html) Amazon Cognito.*

## Pertimbangan keamanan tambahan
<a name="additional-security-considerations"></a>

Berdasarkan kasus penggunaan yang Anda gunakan solusinya, tinjau rekomendasi keamanan berikut:
+  **Kunci enkripsi AWS KMS yang dikelola pelanggan - Solusinya menggunakan kunci** AWS KMS yang dikelola AWS secara default, karena ini tersedia tanpa biaya tambahan. Tinjau kasus penggunaan Anda untuk menentukan apakah Anda harus memperbarui solusi untuk menggunakan kunci [AWS KMS yang dikelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk).
+  Aturan **pelambatan API Gateway - Solusinya diterapkan dengan aturan** pembatasan default pada API Gateway. Berdasarkan kasus penggunaan dan volume transaksi yang diharapkan, kami menyarankan Anda mengonfigurasi pelambatan untuk. APIs Untuk detailnya, lihat [Permintaan Throttle API untuk throughput yang lebih baik di Panduan](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-request-throttling.html) Pengembang *Amazon API Gateway*.
+  **Mengaktifkan AWS CloudTrail** - Sebagai praktik keamanan yang direkomendasikan, pertimbangkan untuk mengaktifkan [AWS CloudTrail](https://aws.amazon.com/cloudtrail/) di akun AWS tempat solusi diterapkan untuk mencatat panggilan API di akun AWS. Untuk detailnya, lihat [Panduan CloudTrail Pengguna AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
+  Deteksi **drift - Sebaiknya konfigurasi deteksi** drift pada CloudFormation tumpukan untuk mengidentifikasi dan diberi tahu tentang perubahan yang tidak disengaja atau berbahaya pada tumpukan solusi yang diterapkan. Untuk detailnya, lihat [Menerapkan alarm untuk mendeteksi drift di CloudFormation tumpukan AWS secara otomatis](https://aws.amazon.com/blogs/mt/implementing-an-alarm-to-automatically-detect-drift-in-aws-cloudformation-stacks/).
+  **Cognito JSON Web Tokens (JWTs)** - Solusinya menggunakan Amazon Cognito yang dikeluarkan JWTs untuk mengautentikasi dengan titik akhir REST API. Kami mengonfigurasi solusi dengan kedaluwarsa lima menit untuk [token ID dan token](https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-user-pools-using-the-id-token.html) [akses](https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-user-pools-using-the-access-token.html). Saat pengguna log out, kemampuan mereka untuk menghasilkan token baru dicabut ([token penyegaran](https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-user-pools-using-the-refresh-token.html) dicabut). Namun, hingga token saat ini berakhir, setiap permintaan ke titik akhir API akan berhasil diautentikasi, karena mereka memiliki token yang valid. Tinjau pertimbangan keamanan untuk kasus penggunaan Anda dan sesuaikan periode validitas token.

 **Menyesuaikan kebijakan siklus hidup:** 

Untuk penerapan produksi, tinjau dan sesuaikan kebijakan siklus hidup berdasarkan persyaratan retensi Anda. Lihat [Menyetel konfigurasi siklus hidup pada bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.

## Penyimpanan file multimodal dan siklus hidup
<a name="multimodal-file-storage-and-lifecycle"></a>

Jika Anda mengaktifkan kemampuan input multimodal (**MultimodalEnabled**disetel ke`Yes`) untuk kasus penggunaan, solusinya akan membuat bucket Amazon S3 untuk menyimpan file yang diunggah dan tabel DynamoDB untuk melacak metadata file.

 **Kebijakan siklus hidup default:** 
+  **File S3:** Secara otomatis dihapus setelah 48 jam
+  **Metadata DynamoDB**: Rekaman kedaluwarsa setelah 24 jam (riwayat percakapan TTL)

 **Pertimbangan keamanan:** 
+ File dipartisi berdasarkan ID kasus penggunaan, ID pengguna, ID percakapan dan ID pesan dan file disimpan dengan nama UUID sebagai gantinya. Pemetaan untuk UUID ke nama file tersedia di tabel metadata DynamoDB
+ Pengguna hanya dapat mengakses file yang mereka unggah dalam percakapan mereka sendiri
+ Validasi tipe file dilakukan dengan menggunakan deteksi angka ajaib
+ Sebaiknya aktifkan [Amazon GuardDuty Malware Protection for S3](https://docs.aws.amazon.com/guardduty/latest/ug/gdu-malware-protection-s3.html) untuk memindai file yang diunggah dari konten berbahaya