

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Simplifique o gerenciamento de EC2 conformidade da Amazon com agentes do Amazon Bedrock e AWS Config
<a name="streamline-amazon-ec2-compliance-management-with-amazon-bedrock-agents-and-aws-config"></a>

*Anand Bukkapatnam Tirumala, Amazon Web Services*

## Resumo
<a name="streamline-amazon-ec2-compliance-management-with-amazon-bedrock-agents-and-aws-config-summary"></a>

Esse padrão descreve como integrar o Amazon Bedrock com AWS Config regras para facilitar o gerenciamento de conformidade para instâncias do Amazon Elastic Compute Cloud EC2 (Amazon). A abordagem usa funcionalidades avançadas de IA generativa para fornecer recomendações personalizadas alinhadas ao [AWS Well-Architected Framework](https://docs.aws.amazon.com/wellarchitected/latest/framework/welcome.html), garantindo a seleção mais adequada dos tipos de instância e a eficiência do sistema. Os principais recursos deste padrão incluem:
+ Monitoramento automatizado de conformidade: AWS Config as regras avaliam continuamente as EC2 instâncias com base em critérios predefinidos para os tipos de instância desejados.
+ Recomendações orientadas por IA: os modelos de IA generativa presentes no Amazon Bedrock analisam os padrões de infraestrutura. Esses modelos fornecem sugestões inteligentes para melhorias com base nas melhores práticas descritas no AWS Well-Architected Framework.
+ Ações corretivas: com os grupos de ação do Amazon Bedrock, é possível automatizar as etapas de correção para lidar rapidamente com instâncias que não estão em conformidade e diminuir possíveis ineficiências de performance ou de custos.
+ Escalabilidade e adaptabilidade: a solução foi projetada para escalar junto com a infraestrutura e se adaptar às necessidades em constante evolução da arquitetura de nuvem.
+ Recomendações de segurança aprimoradas: a conformidade com os princípios da AWS Well-Architected contribui para melhorar a postura de segurança e o desempenho do sistema.

Você pode usar esse padrão como um modelo para implantar sua própria infraestrutura generativa baseada em IA em vários ambientes com o mínimo de alterações, usando DevOps práticas conforme necessário.

## Pré-requisitos e limitações
<a name="streamline-amazon-ec2-compliance-management-with-amazon-bedrock-agents-and-aws-config-prereqs"></a>

**Pré-requisitos **
+ Um ativo Conta da AWS.
+ Uma função AWS Identity and Access Management (IAM) com permissões para criar e gerenciar recursos em buckets e AWS Lambda funções do Amazon Simple Storage Service (Amazon S3) AWS Config, Amazon Bedrock, IAM, Amazon Logs e CloudWatch Amazon. EC2
+ Uma EC2 instância a ser sinalizada como não compatível. Não use o tipo `t2.small` para esta instância.
+ [Modelos Amazon Titan Text Embeddings V2](https://docs.aws.amazon.com/bedrock/latest/userguide/titan-embedding-models.html) e Anthropic Claude 3 Haiku habilitados em seu. Conta da AWS Para habilitar o acesso ao modelo no Região da AWS local em que você está implantando a solução, consulte [Adicionar ou remover o acesso aos modelos da Amazon Bedrock Foundation na documentação](https://docs.aws.amazon.com/bedrock/latest/userguide/model-access-modify.html) do Amazon Bedrock.
+ [Terraform](https://developer.hashicorp.com/terraform/install), instalado e configurado.
+ A [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) v2 instalada e configurada no ambiente de implantação.
+ Análise da [política de uso responsável de IA da Amazon](https://aws.amazon.com/ai/responsible-ai/policy/) concluída.

**Limitações**
+ Alguns Serviços da AWS não estão disponíveis em todos Regiões da AWS. Para conferir a disponibilidade de uma região, consulte [Serviços da AWS by Region](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). Para endpoints específicos, consulte [Service endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html) e clique no link correspondente ao serviço desejado.
+ Esta solução foi testada com os modelos do Incorporador de Texto do Amazon Titan V2 e do Claude 3 Haiku. Se preferir usar outros modelos, é possível personalizar o código do Terraform, que é parametrizado para facilitar alterações.
+ Esta solução não inclui um recurso de histórico para chat, e as conversas não são armazenadas.

## Arquitetura
<a name="streamline-amazon-ec2-compliance-management-with-amazon-bedrock-agents-and-aws-config-architecture"></a>

O diagrama a seguir mostra o fluxo de trabalho e os componentes da arquitetura desse padrão.

![\[Arquitetura e fluxo de trabalho para simplificar o gerenciamento de EC2 conformidade da Amazon com agentes do Amazon Bedrock.\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/images/pattern-img/f43ae2bd-209e-412b-9364-e73996360992/images/4ebf4bce-4927-4d78-841e-95c44b8d780f.png)


O fluxo de trabalho consiste nas seguintes etapas:

1. O usuário interage com o modelo por meio do console de chat do Amazon Bedrock. O usuário pode fazer perguntas como:
   + `What can you help me with?`
   + `List non-complaint resources`
   + `Suggest security best practices`

1. Se o modelo foi treinado previamente, ele responde aos prompts diretamente com base no conhecimento existente. Caso contrário, o prompt é enviado para o grupo de ação do Amazon Bedrock.

1. O grupo de ação acessa os [endpoints da VPC](https://docs.aws.amazon.com/whitepapers/latest/aws-privatelink/what-are-vpc-endpoints.html) usando o [AWS PrivateLink](https://aws.amazon.com/privatelink/) para comunicação segura entre serviços.

1. A solicitação é encaminhada à função do Lambda por meio dos endpoints da VPC destinados aos serviços do Amazon Bedrock.

1. A função do Lambda é o principal mecanismo de execução. Com base na solicitação, a função chama a API para executar ações nos serviços da Serviços da AWS. Além disso, a função gerencia o roteamento e a execução das operações.

1. A função Lambda chama AWS Config para determinar os recursos que não são de reclamação (a EC2 instância não compatível que você criou como pré-requisito).

1. AWS Config sinaliza o recurso de não reclamação. Esse padrão implanta a AWS Config [desired-instance-type](https://docs.aws.amazon.com/config/latest/developerguide/desired-instance-type.html)regra para encontrar o tamanho ideal da EC2 instância.

1. AWS Config solicita que o usuário pause ou corrija a instância e age adequadamente na instância. EC2 O Amazon Bedrock processa essa carga útil de retorno.

1. O usuário recebe uma resposta no console de chat do Amazon Bedrock.

**Automação e escala**

Essa solução usa o Terraform como uma ferramenta de infraestrutura como código (IaC) para permitir a fácil implantação Contas da AWS e funcionar como um utilitário independente em várias contas. Essa abordagem simplifica o gerenciamento e aprimora a consistência das implantações.

## Ferramentas
<a name="streamline-amazon-ec2-compliance-management-with-amazon-bedrock-agents-and-aws-config-tools"></a>

**Serviços da AWS**
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)permite que você avalie, audite e avalie as configurações de seus AWS recursos quanto à conformidade e às configurações desejadas.
+ O [Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/what-is-bedrock.html) é um serviço de IA totalmente gerenciado que fornece acesso a diversos modelos de base de alta performance por meio de uma API unificada.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) ajuda você a gerenciar com segurança o acesso aos seus recursos da AWS controlando quem está autenticado e autorizado a usá-los.
+ O [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) é um serviço de computação que ajuda a executar código sem exigir provisionamento ou gerenciamento de servidores. Ele executa o código somente quando necessário e dimensiona automaticamente, assim, você paga apenas pelo tempo de computação usado.

**Outras ferramentas**
+ O [Git](https://git-scm.com/docs) é um sistema de controle de versão distribuído e de código aberto.
+ [O Terraform](https://www.terraform.io/) é uma ferramenta de infraestrutura como código (IaC) HashiCorp que ajuda você a criar e gerenciar recursos na nuvem e no local.

**Repositório de código**

O código desse padrão está disponível no repositório GitHub [sample-awsconfig-bedrock-compliance-manager](https://github.com/aws-samples/sample-awsconfig-bedrock-compliance-manager).

## Práticas recomendadas
<a name="streamline-amazon-ec2-compliance-management-with-amazon-bedrock-agents-and-aws-config-best-practices"></a>
+ Respeite o princípio de privilégio mínimo, garantindo somente as permissões estritamente necessárias para a execução de uma tarefa. Para obter mais informações, consulte [Conceder privilégio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#grant-least-priv) e [Práticas recomendada de segurança e casos de uso](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPracticesAndUseCases.html) na documentação do IAM.
+ Monitore regularmente os logs de execução do Lambda. Para obter mais informações, consulte [Monitoramento, depuração e solução de problemas de funções do Lambda e Melhores práticas para trabalhar com funções AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-monitoring.html) [na](https://docs.aws.amazon.com/lambda/latest/dg/best-practices.html) documentação do Lambda.

## Épicos
<a name="streamline-amazon-ec2-compliance-management-with-amazon-bedrock-agents-and-aws-config-epics"></a>

### Implante a solução
<a name="deploy-the-solution"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Clonar o repositório. | Para clonar o repositório deste padrão, use o seguinte comando:<pre>git clone "git@github.com:aws-samples/sample-awsconfig-bedrock-compliance-manager.git"</pre> | AWS DevOps, líder de construção, DevOps engenheiro, administrador de nuvem | 
| Edite as variáveis de ambiente. | No diretório raiz do repositório clonado em sua máquina local, edite o arquivo `terraform.tfvars`. Analise os espaços reservados marcados com `[XXXXX]` e modifique-os conforme necessário para o seu ambiente. | Administrador de sistemas da AWS, AWS DevOps, DevOps engenheiro, administrador da AWS | 
| Crie a infraestrutura. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/streamline-amazon-ec2-compliance-management-with-amazon-bedrock-agents-and-aws-config.html) | AWS DevOps, DevOps engenheiro, administrador de sistemas da AWS, administrador de nuvem | 

### Uso do agente
<a name="use-the-agent"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Converse com o agente. | A implantação da solução na etapa anterior instala o `security-bot-agent`, que é um agente do Amazon Bedrock com console de chat.Para usar o agente:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/streamline-amazon-ec2-compliance-management-with-amazon-bedrock-agents-and-aws-config.html) | AWS DevOps, DevOps engenheiro, administrador de sistemas da AWS, administrador de nuvem | 

### Limpar os recursos
<a name="clean-up-resources"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Exclua a infraestrutura e os recursos. | Quando tiver concluído seu trabalho com esta solução, você pode excluir a infraestrutura criada por este padrão ao executar o comando:<pre>terraform destroy --auto-approve</pre> | AWS DevOps, DevOps engenheiro, administrador de sistemas da AWS, administrador de nuvem | 

## Solução de problemas
<a name="streamline-amazon-ec2-compliance-management-with-amazon-bedrock-agents-and-aws-config-troubleshooting"></a>


| Problema | Solução | 
| --- | --- | 
| Problemas de comportamento do agente | Para obter informações relacionadas à solução de problemas, consulte [Test and troubleshoot agent behavior](https://docs.aws.amazon.com/bedrock/latest/userguide/agents-test.html) na documentação do Amazon Bedrock. | 
| AWS Lambda problemas de rede | Para obter mais informações, consulte [Solucionar problemas de redes no Lambda](https://docs.aws.amazon.com/lambda/latest/dg/troubleshooting-networking.html) na documentação do Lambda. | 
| permissões do IAM | Para obter mais informações, consulte [Solucionar problemas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot.html) na documentação do IAM. | 

## Recursos relacionados
<a name="streamline-amazon-ec2-compliance-management-with-amazon-bedrock-agents-and-aws-config-resources"></a>
+ [Amazon Bedrock Agents](https://aws.amazon.com/bedrock/agents/)
+ [Use action groups to define actions for your agent to perform](https://docs.aws.amazon.com/bedrock/latest/userguide/agents-action-create.html) (documentação do Amazon Bedrock)
+ [desired-instance-type regra](https://docs.aws.amazon.com/config/latest/developerguide/desired-instance-type.html) (AWS Config documentação)
+ [Como AWS Config funciona](https://docs.aws.amazon.com/config/latest/developerguide/how-does-config-work.html) (AWS Config documentação)