Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Fase 4: Configurazione post-implementazione
Questa sezione fornisce consigli per configurare la soluzione dopo la distribuzione.
Versionamento dei bucket Amazon S3, politiche del ciclo di vita e replica tra regioni
Questa soluzione non impone configurazioni del ciclo di vita sui bucket che crea. Consigliamo quanto segue:
-
Impostazione delle configurazioni del ciclo di vita per le implementazioni di produzione. Per maggiori dettagli, consulta la sezione Impostazione della configurazione del ciclo di vita su un bucket nella Guida per l'utente di Amazon Simple Storage Service.
-
Abilitazione del controllo delle versioni e della replica tra regioni per i bucket Amazon S3 in base allo use case per il quale viene distribuita la soluzione.
Backup di Amazon DynamoDB
Questa soluzione utilizza DynamoDB per diversi scopi (vedi i servizi AWS in questa soluzione). La soluzione non abilita i backup per le tabelle che crea. Consigliamo di creare un backup di questa funzionalità per le distribuzioni di produzione. Per ulteriori informazioni, consulta Backup di una tabella DynamoDB e Utilizzo di AWS Backup for DynamoDB.
CloudWatch Dashboard e allarmi Amazon
La soluzione implementa una dashboard personalizzata per eseguire il rendering CloudWatch di grafici da metriche pubblicate personalizzate e metriche dei servizi AWS. Consigliamo di creare CloudWatch allarmi e aggiungere notifiche in base al caso d'uso per il quale viene implementata la soluzione.
CloudWatch Registri Amazon
I log Lambda sono configurati per non scadere mai e i log di API Gateway sono configurati con una scadenza di 10 anni. È possibile aggiornare la scadenza dei rispettivi gruppi di log per allinearla alla politica di conservazione dei record dell'azienda.
Domini web personalizzati con certificati TLS v1.2 o versioni successive
La soluzione implementa un'interfaccia utente Web e un gateway API ottimizzato per Edge utilizzando CloudFront. CloudFrontil dominio non applica i certificati TLS v1.2 o versioni successive. Ti consigliamo di creare un dominio personalizzato utilizzando Amazon Route 53
Per ulteriori dettagli, consulta la Amazon Route 53 Developer Guide e la scelta di una versione TLS minima per un dominio personalizzato in API Gateway.
Scalabilità con Amazon Kendra
Questa soluzione offre la possibilità di utilizzare Amazon Kendra per eseguire ricerche intelligenti basate sulla tecnologia NLP tra i documenti acquisiti. Puoi aumentare la capacità di Amazon Kendra utilizzando i CloudFormation seguenti parametri per carichi di lavoro più grandi:
| Parametro | Predefinita | Description |
|---|---|---|
|
|
La quantità di capacità di interrogazione aggiuntiva per un indice e GetQuerySuggestionsuna capacità. Un'unità di capacità aggiuntiva per un indice fornisce circa 8.000 query al giorno. |
|
|
|
Quantità di capacità di storage aggiuntiva per un indice. Un'unità a capacità singola offre 30 GB di spazio di archiviazione o 100.000 documenti, a seconda dell'evento che si verifica per primo. |
|
|
|
Amazon Kendra fornisce le edizioni Developer ed Enterprise per creare indici. Per ulteriori informazioni sulle differenze tra le edizioni di Amazon Kendra, consulta i prezzi di Amazon Kendra |
Per modificare i valori di questi CloudFormation parametri, seleziona i valori appropriati al momento della distribuzione dello stack. Per ulteriori informazioni sulle unità di interrogazione e capacità di archiviazione, vedere Adjusting capacity.
Nota
Se lo use case Text non viene distribuito con RAG abilitato, non viene utilizzato o creato un indice Amazon Kendra.
Configurazione dell'SSO utilizzando la federazione Idp
Questa soluzione consente l'integrazione con provider di identità esterni che supportano la federazione delle identità basata su SAML o OIDC. Quando la soluzione viene implementata, crea un pool di utenti Amazon Cognito e l'integrazione di singoli client di app per la dashboard di distribuzione e i singoli casi d'uso. In base all'Idp esterno, segui i passaggi forniti nella sezione Configurazione dei provider di identità per il tuo pool di utenti della Amazon Cognito Developer Guide e scegli l'integrazione del client dell'app per la dashboard di distribuzione o il caso d'uso con cui desideri configurare l'SSO.
Per trasferire le informazioni sul gruppo di utenti alla knowledge base o agli archivi vettoriali in un'architettura basata su RAG, dovrai mappare i gruppi di utenti dall'Idp esterno ai gruppi di utenti Amazon Cognito. La soluzione fornisce un trigger iniziale della funzione Lambda dello scaffolding da
Configurazione manuale del pool di utenti
Se scegli di non inviare un indirizzo e-mail di amministratore o utente predefinito durante la distribuzione, devi creare manualmente i gruppi di utenti appropriati in Amazon Cognito per garantire le autorizzazioni corrette:
-
Per la dashboard Deployment, crea un gruppo denominato
Adminnel tuo pool di utenti di Cognito. -
Per ogni caso d'uso, crea un gruppo denominato
${UseCaseName}-Usersnel tuo pool di utenti di Cognito, dove si${UseCaseName}trova il nome del caso d'uso distribuito.
Questi gruppi sono necessari per il corretto funzionamento del meccanismo di autorizzazione. Tutti gli utenti a cui desideri concedere l'accesso devono essere aggiunti ai gruppi appropriati.
Se placeholder@example.com viene superato, verrà creato il gruppo Cognito, ma è comunque necessario creare gli utenti associati e assegnarli al gruppo.
Personalizzazione della schermata di accesso
Questa soluzione utilizza l'interfaccia utente ospitata da Amazon Cognito per eseguire il rendering della pagina di accesso. Per personalizzare la pagina di accesso integrata, consulta Personalizzazione delle pagine Web di accesso e registrazione integrate nella Amazon Cognito Developer Guide.
Ulteriori considerazioni sulla sicurezza
In base al caso d'uso per il quale distribuisci la soluzione, consulta i seguenti consigli di sicurezza:
-
Chiavi di crittografia AWS KMS gestite dal cliente: la soluzione utilizza per impostazione predefinita chiavi AWS KMS gestite da AWS, poiché sono disponibili senza costi aggiuntivi. Esamina il tuo caso d'uso per determinare se è necessario aggiornare la soluzione per utilizzare chiavi AWS KMS gestite dal cliente.
-
Regole di limitazione API Gateway: la soluzione viene implementata con regole di limitazione predefinite su API Gateway. In base al caso d'uso e ai volumi di transazioni previsti, ti consigliamo di configurare la limitazione per. APIs Per maggiori dettagli, consulta la sezione Richieste API Throttle per una migliore velocità effettiva nella Amazon API Gateway Developer Guide.
-
Abilitazione di AWS CloudTrail: come pratica di sicurezza consigliata, prendi CloudTrail in considerazione l'abilitazione di AWS nell'account AWS in cui è distribuita la soluzione per registrare le chiamate API nell'account AWS.
Per i dettagli, consulta la AWS CloudTrail User Guide. -
Rilevamento delle deviazioni: consigliamo di configurare il rilevamento della deriva sugli CloudFormation stack per identificare e ricevere notifiche in caso di modifiche involontarie o dannose allo stack di soluzioni implementate. Per i dettagli, consulta Implementazione di un allarme per rilevare automaticamente la deriva negli CloudFormation stack AWS
. -
Cognito JSON Web Tokens (JWTs): la soluzione utilizza Amazon Cognito emesso da Amazon Cognito JWTs per l'autenticazione con gli endpoint dell'API REST. Abbiamo configurato la soluzione con una scadenza di cinque minuti per i token ID e i token di accesso. Quando un utente si disconnette, la sua capacità di generare nuovi token viene revocata (il token di aggiornamento viene revocato). Tuttavia, fino alla scadenza del token corrente, tutte le richieste all'endpoint API verranno autenticate con successo, poiché dispongono di un token valido. Esamina le considerazioni sulla sicurezza relative al tuo caso d'uso e modifica il periodo di validità del token.
Personalizzazione delle politiche del ciclo di vita:
Per le implementazioni di produzione, rivedi e modifica le politiche del ciclo di vita in base ai requisiti di conservazione. Vedi Impostazione della configurazione del ciclo di vita su un bucket nella Guida per l'utente di Amazon Simple Storage Service.
Archiviazione e ciclo di vita dei file multimodali
Se hai abilitato le funzionalità di input multimodali (MultimodalEnabledimpostate suYes) per il tuo caso d'uso, la soluzione crea un bucket Amazon S3 per archiviare i file caricati e una tabella DynamoDB per tenere traccia dei metadati dei file.
Politiche predefinite del ciclo di vita:
-
File S3: eliminati automaticamente dopo 48 ore
-
Metadati DynamoDB: i record scadono dopo 24 ore (cronologia delle conversazioni TTL)
Considerazioni sulla sicurezza:
-
I file vengono partizionati in base all'ID del caso d'uso, all'ID utente, all'ID della conversazione e all'ID del messaggio e un file viene invece archiviato con un nome UUID. La mappatura dell'UUID ai nomi dei file è disponibile nella tabella dei metadati DynamoDB
-
Gli utenti possono accedere solo ai file che hanno caricato all'interno delle proprie conversazioni
-
La convalida del tipo di file viene eseguita utilizzando il rilevamento magico dei numeri
-
Ti consigliamo di abilitare Amazon GuardDuty Malware Protection for S3 per scansionare i file caricati alla ricerca di contenuti dannosi
