View a markdown version of this page

4단계: 배포 후 구성 - AWS의 생성형 AI 애플리케이션 빌더
Amazon S3 버킷 버전 관리, 수명 주기 정책 및 리전 간 복제Amazon DynamoDB 백업Amazon CloudWatch 대시보드 및 경보Amazon CloudWatch LogsTLS v1.2 이상의 인증서가 있는 사용자 지정 웹 도메인Amazon Kendra를 사용한 확장Idp 페더레이션을 사용하여 SSO 설정수동 사용자 풀 구성로그인 화면 사용자 지정추가 보안 고려 사항멀티모달 파일 스토리지 및 수명 주기

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

4단계: 배포 후 구성

이 섹션에서는 배포 후 솔루션을 구성하기 위한 권장 사항을 제공합니다.

Amazon S3 버킷 버전 관리, 수명 주기 정책 및 리전 간 복제

이 솔루션은 생성하는 버킷에 수명 주기 구성을 적용하지 않습니다. 다음과 같이 하는 것이 좋습니다:

Amazon DynamoDB 백업

이 솔루션은 DynamoDB를 여러 용도로 사용합니다(이 솔루션의 AWS 서비스 참조). 솔루션은 생성하는 테이블에 대한 백업을 활성화하지 않습니다. 프로덕션 배포를 위해이 기능의 백업을 생성하는 것이 좋습니다. 자세한 내용은 DynamoDB 테이블 백업 DynamoDB용 AWS Backup 사용을 참조하세요.

Amazon CloudWatch 대시보드 및 경보

이 솔루션은 CloudWatch에 사용자 지정 대시보드를 배포하여 사용자 지정 게시 지표 및 AWS 서비스 지표에서 차트를 렌더링합니다. CloudWatch 경보를 생성하고 솔루션이 배포된 사용 사례에 따라 알림을 추가하는 것이 좋습니다.

Amazon CloudWatch Logs

Lambda 로그는 만료되지 않도록 구성되며 API Gateway 로그는 10년 만료로 구성됩니다. 엔터프라이즈의 레코드 보존 정책에 맞게 각 로그 그룹의 만료를 업데이트할 수 있습니다.

TLS v1.2 이상의 인증서가 있는 사용자 지정 웹 도메인

솔루션은 CloudFront를 사용하여 웹 UI 및 Edge Optimized API Gateway를 배포합니다. CloudFront의 도메인은 TLS v1.2 이상의 인증서를 적용하지 않습니다. Amazon Route 53을 사용하여 사용자 지정 도메인을 생성하거나, AWS Certificate Manager를 사용하여 인증서를 생성하거나, 조직에 기존 인증서가 있는 경우 기존 인증서를 사용하는 것이 좋습니다.

자세한 내용은 Amazon Route 53 개발자 안내서API Gateway의 사용자 지정 도메인에 대한 최소 TLS 버전 선택을 참조하세요.

Amazon Kendra를 사용한 확장

이 솔루션은 Amazon Kendra를 사용하여 수집된 문서에서 NLP 기반 지능형 검색을 수행하는 기능을 제공합니다. 대규모 워크로드에 대해 다음 CloudFormation 파라미터를 사용하여 Amazon Kendra의 용량을 늘릴 수 있습니다.

파라미터 기본값 설명

Amazon Kendra 추가 쿼리 용량

0

인덱스 및 GetQuerySuggestions 용량에 대한 추가 쿼리 용량입니다. 인덱스에 대한 추가 용량 단위는 하루에 약 8,000개의 쿼리를 제공합니다.

Amazon Kendra 추가 스토리지 용량

0

인덱스에 대한 추가 스토리지 용량입니다. 단일 용량 단위는 30GB의 스토리지 공간 또는 100,000개의 문서 중 먼저 도달하는 쪽을 제공합니다.

Amazon Kendra 에디션

Developer

Amazon Kendra는 인덱스를 생성할 수 있는 개발자 및 엔터프라이즈 에디션을 제공합니다. Amazon Kendra Edition의 차이점에 대한 자세한 내용은 Amazon Kendra 요금을 참조하세요.

이러한 CloudFormation 파라미터의 값을 수정하려면 스택 배포 시 적절한 값을 선택합니다. 쿼리 및 스토리지 용량 단위에 대한 자세한 내용은 용량 조정을 참조하세요.

참고

텍스트 사용 사례가 RAG가 활성화된 상태로 배포되지 않은 경우 Amazon Kendra 인덱스가 사용되거나 생성되지 않습니다.

Idp 페더레이션을 사용하여 SSO 설정

이 솔루션을 사용하면 SAML 또는 OIDC 기반 자격 증명 페더레이션을 지원하는 외부 자격 증명 공급자와 통합할 수 있습니다. 솔루션이 배포되면 배포 대시보드 및 개별 사용 사례에 대한 Amazon Cognito 사용자 풀과 개별 앱 클라이언트 통합이 생성됩니다. 외부 Idp를 기반으로 Amazon Cognito 개발자 안내서사용자 풀에 대한 자격 증명 공급자 구성 섹션에 제공된 단계에 따라 SSO를 설정하려는 배포 대시보드 또는 사용 사례에 대한 앱 클라이언트 통합을 선택합니다.

사용자 그룹 정보를 RAG 기반 아키텍처의 지식 기반 또는 벡터 스토어에 전달하려면 외부 Idp의 사용자 그룹을 Amazon Cognito 사용자 그룹으로 매핑해야 합니다. 솔루션은 사전 토큰 생성 단계와 매핑할 초기 스캐폴딩 Lambda 함수 트리거를 제공합니다. Lambda 함수에는 그룹 매핑을 제공하도록 업데이트해야 하는 group_mapping.json 파일이 있습니다. Amazon Cognito에서 지원하는 Lambda 트리거에 대한 Lambda 트리거를 사용하여 사용자 풀 워크플로 사용자 지정을 참조하세요.

수동 사용자 풀 구성

배포 중에 관리자 또는 기본 사용자 이메일을 전달하지 않도록 선택한 경우 올바른 권한을 보장하려면 Amazon Cognito에서 적절한 사용자 그룹을 수동으로 생성해야 합니다.

  1. 배포 대시보드의 경우 Cognito 사용자 풀Admin에 라는 그룹을 생성합니다.

  2. 각 사용 사례에 대해 Cognito 사용자 풀${UseCaseName}-Users에 라는 그룹을 생성합니다. 여기서 ${UseCaseName}는 배포된 사용 사례의 이름입니다.

이러한 그룹은 권한 부여 메커니즘이 올바르게 작동하는 데 필요합니다. 액세스 권한을 부여하려는 모든 사용자를 적절한 그룹에 추가해야 합니다.

placeholder@example.com이 전달되면 Cognito 그룹이 생성되지만 연결된 사용자를 생성하고 그룹에 할당해야 합니다.

로그인 화면 사용자 지정

이 솔루션은 Amazon Cognito 호스팅 UI를 사용하여 로그인 페이지를 렌더링합니다. 기본 제공 로그인 페이지를 사용자 지정하려면 Amazon Cognito 개발자 안내서의 기본 제공 로그인 및 가입 웹 페이지 사용자 지정을 참조하세요.

추가 보안 고려 사항

솔루션을 배포하는 사용 사례에 따라 다음 보안 권장 사항을 검토합니다.

  • 고객 관리형 AWS KMS 암호화 키 - 솔루션은 AWS 관리형 AWS KMS 키를 추가 비용 없이 사용할 수 있으므로 기본적으로 이를 사용합니다. 사용 사례를 검토하여 고객 관리형 AWS KMS 키를 사용하도록 솔루션을 업데이트해야 하는지 확인합니다.

  • API Gateway 제한 규칙 - 솔루션은 API Gateway에 기본 제한 규칙을 사용하여 배포됩니다. 사용 사례와 예상 트랜잭션 볼륨에 따라 APIs에 대한 제한을 구성하는 것이 좋습니다. 자세한 내용은 Amazon API Gateway API Gateway 개발자 안내서의 처리량 향상을 위한 API 요청 제한을 참조하세요.

  • AWS CloudTrail 활성화 - AWS 계정에서 API 호출을 로깅하기 위해 솔루션이 배포된 AWS 계정에서 AWS CloudTrail을 활성화하는 것이 좋습니다. 자세한 내용은 AWS CloudTrail 사용 설명서를 참조하세요.

  • 드리프트 감지 - 배포된 솔루션 스택에 대한 의도하지 않거나 악의적인 변경 사항을 식별하고 알림을 받도록 CloudFormation 스택에서 드리프트 감지를 구성하는 것이 좋습니다. 자세한 내용은 AWS CloudFormation 스택에서 드리프트를 자동으로 감지하는 경보 구현을 참조하세요.

  • Cognito JSON 웹 토큰(JWTs) -이 솔루션은 Amazon Cognito에서 발급한 JWTs 사용하여 REST API 엔드포인트로 인증합니다. ID 토큰액세스 토큰의 만료 시간이 5분으로 솔루션을 구성했습니다. 사용자가 로그아웃하면 새 토큰을 생성하는 기능이 취소됩니다(새 토큰이 취소됨). 그러나 현재 토큰이 만료될 때까지 API 엔드포인트에 대한 모든 요청은 유효한 토큰이 있으므로 성공적으로 인증됩니다. 사용 사례에 대한 보안 고려 사항을 검토하고 토큰 유효 기간을 조정합니다.

수명 주기 정책 사용자 지정:

프로덕션 배포의 경우 보존 요구 사항에 따라 수명 주기 정책을 검토하고 조정합니다. Amazon Simple Storage Service 사용 설명서버킷에 대한 수명 주기 구성 설정을 참조하세요.

멀티모달 파일 스토리지 및 수명 주기

사용 사례에 대해 멀티모달 입력 기능(MultimodalEnabled를 로 설정Yes)을 활성화한 경우 솔루션은 업로드된 파일을 저장할 Amazon S3 버킷과 파일 메타데이터를 추적할 DynamoDB 테이블을 생성합니다.

기본 수명 주기 정책:

  • S3 파일: 48시간 후 자동으로 삭제됨

  • DynamoDB 메타데이터: 레코드는 24시간 후에 만료됩니다(대화 기록 TTL).

보안 고려 사항:

  • 파일은 사용 사례 ID, 사용자 ID, 대화 ID 및 메시지 ID로 분할되며 대신 UUID 이름으로 저장됩니다. UUID와 파일 이름의 매핑은 DynamoDB 메타데이터 테이블에서 사용할 수 있습니다.

  • 사용자는 자신의 대화 내에서 업로드한 파일에만 액세스할 수 있습니다.

  • 매직 번호 감지를 사용하여 파일 유형 검증 수행

  • 업로드된 파일에 악성 콘텐츠가 있는지 스캔하려면 Amazon GuardDuty Malware Protection for S3를 활성화하는 것이 좋습니다.