As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Simplifique o gerenciamento de EC2 conformidade da Amazon com agentes do Amazon Bedrock e AWS Config
Anand Bukkapatnam Tirumala, Amazon Web Services
Resumo
Esse padrão descreve como integrar o Amazon Bedrock com AWS Config regras para facilitar o gerenciamento de conformidade para instâncias do Amazon Elastic Compute Cloud EC2 (Amazon). A abordagem usa funcionalidades avançadas de IA generativa para fornecer recomendações personalizadas alinhadas ao AWS Well-Architected Framework, garantindo a seleção mais adequada dos tipos de instância e a eficiência do sistema. Os principais recursos deste padrão incluem:
Monitoramento automatizado de conformidade: AWS Config as regras avaliam continuamente as EC2 instâncias com base em critérios predefinidos para os tipos de instância desejados.
Recomendações orientadas por IA: os modelos de IA generativa presentes no Amazon Bedrock analisam os padrões de infraestrutura. Esses modelos fornecem sugestões inteligentes para melhorias com base nas melhores práticas descritas no AWS Well-Architected Framework.
Ações corretivas: com os grupos de ação do Amazon Bedrock, é possível automatizar as etapas de correção para lidar rapidamente com instâncias que não estão em conformidade e diminuir possíveis ineficiências de performance ou de custos.
Escalabilidade e adaptabilidade: a solução foi projetada para escalar junto com a infraestrutura e se adaptar às necessidades em constante evolução da arquitetura de nuvem.
Recomendações de segurança aprimoradas: a conformidade com os princípios da AWS Well-Architected contribui para melhorar a postura de segurança e o desempenho do sistema.
Você pode usar esse padrão como um modelo para implantar sua própria infraestrutura generativa baseada em IA em vários ambientes com o mínimo de alterações, usando DevOps práticas conforme necessário.
Pré-requisitos e limitações
Pré-requisitos
Um ativo Conta da AWS.
Uma função AWS Identity and Access Management (IAM) com permissões para criar e gerenciar recursos em buckets e AWS Lambda funções do Amazon Simple Storage Service (Amazon S3) AWS Config, Amazon Bedrock, IAM, Amazon Logs e CloudWatch Amazon. EC2
Uma EC2 instância a ser sinalizada como não compatível. Não use o tipo
t2.smallpara esta instância.Modelos Amazon Titan Text Embeddings V2 e Anthropic Claude 3 Haiku habilitados em seu. Conta da AWS Para habilitar o acesso ao modelo no Região da AWS local em que você está implantando a solução, consulte Adicionar ou remover o acesso aos modelos da Amazon Bedrock Foundation na documentação do Amazon Bedrock.
Terraform
, instalado e configurado. A AWS Command Line Interface (AWS CLI) v2 instalada e configurada no ambiente de implantação.
Análise da política de uso responsável de IA da Amazon
concluída.
Limitações
Alguns Serviços da AWS não estão disponíveis em todos Regiões da AWS. Para conferir a disponibilidade de uma região, consulte Serviços da AWS by Region
. Para endpoints específicos, consulte Service endpoints and quotas e clique no link correspondente ao serviço desejado. Esta solução foi testada com os modelos do Incorporador de Texto do Amazon Titan V2 e do Claude 3 Haiku. Se preferir usar outros modelos, é possível personalizar o código do Terraform, que é parametrizado para facilitar alterações.
Esta solução não inclui um recurso de histórico para chat, e as conversas não são armazenadas.
Arquitetura
O diagrama a seguir mostra o fluxo de trabalho e os componentes da arquitetura desse padrão.
O fluxo de trabalho consiste nas seguintes etapas:
O usuário interage com o modelo por meio do console de chat do Amazon Bedrock. O usuário pode fazer perguntas como:
What can you help me with?List non-complaint resourcesSuggest security best practices
Se o modelo foi treinado previamente, ele responde aos prompts diretamente com base no conhecimento existente. Caso contrário, o prompt é enviado para o grupo de ação do Amazon Bedrock.
O grupo de ação acessa os endpoints da VPC usando o AWS PrivateLink
para comunicação segura entre serviços. A solicitação é encaminhada à função do Lambda por meio dos endpoints da VPC destinados aos serviços do Amazon Bedrock.
A função do Lambda é o principal mecanismo de execução. Com base na solicitação, a função chama a API para executar ações nos serviços da Serviços da AWS. Além disso, a função gerencia o roteamento e a execução das operações.
A função Lambda chama AWS Config para determinar os recursos que não são de reclamação (a EC2 instância não compatível que você criou como pré-requisito).
AWS Config sinaliza o recurso de não reclamação. Esse padrão implanta a AWS Config desired-instance-typeregra para encontrar o tamanho ideal da EC2 instância.
AWS Config solicita que o usuário pause ou corrija a instância e age adequadamente na instância. EC2 O Amazon Bedrock processa essa carga útil de retorno.
O usuário recebe uma resposta no console de chat do Amazon Bedrock.
Automação e escala
Essa solução usa o Terraform como uma ferramenta de infraestrutura como código (IaC) para permitir a fácil implantação Contas da AWS e funcionar como um utilitário independente em várias contas. Essa abordagem simplifica o gerenciamento e aprimora a consistência das implantações.
Ferramentas
Serviços da AWS
AWS Configpermite que você avalie, audite e avalie as configurações de seus AWS recursos quanto à conformidade e às configurações desejadas.
O Amazon Bedrock é um serviço de IA totalmente gerenciado que fornece acesso a diversos modelos de base de alta performance por meio de uma API unificada.
AWS Identity and Access Management (IAM) ajuda você a gerenciar com segurança o acesso aos seus recursos da AWS controlando quem está autenticado e autorizado a usá-los.
O AWS Lambda é um serviço de computação que ajuda a executar código sem exigir provisionamento ou gerenciamento de servidores. Ele executa o código somente quando necessário e dimensiona automaticamente, assim, você paga apenas pelo tempo de computação usado.
Outras ferramentas
O Git
é um sistema de controle de versão distribuído e de código aberto. O Terraform
é uma ferramenta de infraestrutura como código (IaC) HashiCorp que ajuda você a criar e gerenciar recursos na nuvem e no local.
Repositório de código
O código desse padrão está disponível no repositório GitHub sample-awsconfig-bedrock-compliance-manager
Práticas recomendadas
Respeite o princípio de privilégio mínimo, garantindo somente as permissões estritamente necessárias para a execução de uma tarefa. Para obter mais informações, consulte Conceder privilégio mínimo e Práticas recomendada de segurança e casos de uso na documentação do IAM.
Monitore regularmente os logs de execução do Lambda. Para obter mais informações, consulte Monitoramento, depuração e solução de problemas de funções do Lambda e Melhores práticas para trabalhar com funções AWS Lambda na documentação do Lambda.
Épicos
| Tarefa | Description | Habilidades necessárias |
|---|---|---|
Clonar o repositório. | Para clonar o repositório deste padrão, use o seguinte comando:
| AWS DevOps, líder de construção, DevOps engenheiro, administrador de nuvem |
Edite as variáveis de ambiente. | No diretório raiz do repositório clonado em sua máquina local, edite o arquivo | Administrador de sistemas da AWS, AWS DevOps, DevOps engenheiro, administrador da AWS |
Crie a infraestrutura. |
| AWS DevOps, DevOps engenheiro, administrador de sistemas da AWS, administrador de nuvem |
| Tarefa | Description | Habilidades necessárias |
|---|---|---|
Converse com o agente. | A implantação da solução na etapa anterior instala o Para usar o agente:
| AWS DevOps, DevOps engenheiro, administrador de sistemas da AWS, administrador de nuvem |
| Tarefa | Description | Habilidades necessárias |
|---|---|---|
Exclua a infraestrutura e os recursos. | Quando tiver concluído seu trabalho com esta solução, você pode excluir a infraestrutura criada por este padrão ao executar o comando:
| AWS DevOps, DevOps engenheiro, administrador de sistemas da AWS, administrador de nuvem |
Solução de problemas
| Problema | Solução |
|---|---|
Problemas de comportamento do agente | Para obter informações relacionadas à solução de problemas, consulte Test and troubleshoot agent behavior na documentação do Amazon Bedrock. |
AWS Lambda problemas de rede | Para obter mais informações, consulte Solucionar problemas de redes no Lambda na documentação do Lambda. |
permissões do IAM | Para obter mais informações, consulte Solucionar problemas do IAM na documentação do IAM. |
Recursos relacionados
Use action groups to define actions for your agent to perform (documentação do Amazon Bedrock)
desired-instance-type regra (AWS Config documentação)
Como AWS Config funciona (AWS Config documentação)
