View a markdown version of this page

Etapa 4: configuração pós-implantação - Criador de aplicações de IA generativa na AWS
Controle de versão do bucket Amazon S3, políticas de ciclo de vida e replicação entre regiõesBackups do Amazon DynamoDBCloudWatch Painel e alarmes da AmazonCloudWatch Registros da AmazonDomínios da web personalizados com certificados TLS v1.2 ou superiorEscalabilidade com o Amazon KendraConfigurando o SSO usando a federação IdpConfiguração manual do grupo de usuáriosPersonalizando a tela de loginConsiderações adicionais sobre segurançaArmazenamento de arquivos e ciclo de vida multimodais

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 4: configuração pós-implantação

Esta seção fornece recomendações para configurar a solução após a implantação.

Controle de versão do bucket Amazon S3, políticas de ciclo de vida e replicação entre regiões

Essa solução não impõe configurações de ciclo de vida nos buckets que ela cria. Recomendamos o seguinte:

Backups do Amazon DynamoDB

Essa solução usa o DynamoDB para várias finalidades (consulte os serviços da AWS nesta solução). A solução não permite backups das tabelas que ela cria. Recomendamos criar um backup desse recurso para implantações de produção. Consulte Backup de uma tabela do DynamoDB e Uso do AWS Backup for DynamoDB para obter detalhes.

CloudWatch Painel e alarmes da Amazon

A solução implanta um painel personalizado CloudWatch para renderizar gráficos de métricas personalizadas publicadas e métricas de serviços da AWS. Recomendamos criar CloudWatch alarmes e adicionar notificações com base no caso de uso para o qual a solução foi implantada.

CloudWatch Registros da Amazon

Os registros do Lambda são configurados para nunca expirar e os registros do API Gateway são configurados com uma expiração de 10 anos. Você pode atualizar a expiração dos respectivos grupos de registros para se alinhar à política de retenção de registros da sua empresa.

Domínios da web personalizados com certificados TLS v1.2 ou superior

A solução implanta uma interface de usuário da web e um Edge Optimized API Gateway usando CloudFront. CloudFrontO domínio de não impõe certificados TLS v1.2 ou superior. Recomendamos criar um domínio personalizado usando o Amazon Route 53, criar um certificado usando o AWS Certificate Manager ou usar um certificado existente, se sua organização tiver um.

Para obter detalhes adicionais, consulte o Guia do desenvolvedor do Amazon Route 53 e Escolha de uma versão mínima do TLS para um domínio personalizado no API Gateway.

Escalabilidade com o Amazon Kendra

Essa solução fornece a capacidade de usar o Amazon Kendra para realizar pesquisas inteligentes baseadas em NLP nos documentos ingeridos. Você pode aumentar a capacidade do Amazon Kendra usando os CloudFormation seguintes parâmetros para cargas de trabalho maiores:

Parâmetro Padrão Description

Capacidade adicional de consulta do Amazon Kendra

0

A quantidade de capacidade extra de consulta para um índice e GetQuerySuggestionscapacidade. Uma unidade de capacidade adicional para um índice fornece aproximadamente 8.000 consultas por dia.

Capacidade de armazenamento adicional do Amazon Kendra

0

A quantidade de capacidade de armazenamento extra para um índice. Uma unidade de capacidade única fornece 30 GB de espaço de armazenamento ou 100.000 documentos, o que ocorrer primeiro.

Edição Amazon Kendra

Developer

O Amazon Kendra fornece as edições Developer e Enterprise para criar índices. Para obter mais informações sobre as diferenças entre as edições Amazon Kendra, consulte os preços do Amazon Kendra.

Para modificar os valores desses CloudFormation parâmetros, selecione os valores apropriados no momento da implantação da pilha. Para obter mais informações sobre unidades de consulta e capacidade de armazenamento, consulte Ajustando a capacidade.

nota

Se o caso de uso do Text não for implantado com o RAG habilitado, um índice do Amazon Kendra não será usado ou criado.

Configurando o SSO usando a federação Idp

Essa solução permite a integração com provedores de identidade externos que oferecem suporte à federação de identidade baseada em SAML ou OIDC. Quando a solução é implantada, ela cria um pool de usuários do Amazon Cognito e uma integração individual de clientes de aplicativos para o painel de implantação e casos de uso individuais. Com base no Idp externo, siga as etapas fornecidas na seção Configuração de provedores de identidade para seu grupo de usuários do Guia do Desenvolvedor do Amazon Cognito e escolha a integração do cliente do aplicativo para o painel de implantação ou o caso de uso com o qual você gostaria de configurar o SSO.

Para passar as informações do grupo de usuários para a base de conhecimento ou armazenamentos vetoriais em uma arquitetura baseada em RAG, você precisará mapear grupos de usuários do Idp externo para grupos de usuários do Amazon Cognito. A solução fornece um gatilho inicial da função Lambda de andaime a ser mapeado com a fase de pré-geração do token. A função Lambda tem o arquivo group_mapping.json que deve ser atualizado para fornecer os mapeamentos do grupo. Consulte Personalização dos fluxos de trabalho do grupo de usuários com gatilhos Lambda para ver os acionadores Lambda compatíveis com o Amazon Cognito.

Configuração manual do grupo de usuários

Se você optar por não enviar um e-mail de administrador ou usuário padrão durante a implantação, deverá criar manualmente os grupos de usuários apropriados no Amazon Cognito para garantir as permissões corretas:

  1. Para o painel de implantação, crie um grupo chamado Admin em seu grupo de usuários do Cognito.

  2. Para cada caso de uso, crie um grupo chamado ${UseCaseName}-Users em seu grupo de usuários do Cognito, onde ${UseCaseName} está o nome do seu caso de uso implantado.

Esses grupos são necessários para que o mecanismo de autorização funcione corretamente. Todos os usuários aos quais você deseja conceder acesso devem ser adicionados aos grupos apropriados.

Se placeholder@example.com for aprovado, o grupo Cognito será criado, mas você ainda deverá criar os usuários associados e atribuí-los ao grupo.

Personalizando a tela de login

Essa solução usa a interface de usuário hospedada pelo Amazon Cognito para renderizar a página de login. Para personalizar a página de login integrada, consulte Personalização das páginas integradas de login e cadastro no Guia do Desenvolvedor do Amazon Cognito.

Considerações adicionais sobre segurança

Com base no caso de uso para o qual você implanta a solução, revise as seguintes recomendações de segurança:

  • Chaves de criptografia do AWS KMS gerenciadas pelo cliente — A solução usa chaves do AWS KMS gerenciadas pela AWS por padrão, pois elas estão disponíveis sem custo adicional. Analise seu caso de uso para determinar se você deve atualizar a solução para usar chaves do AWS KMS gerenciadas pelo cliente.

  • Regras de limitação do API Gateway - A solução é implantada com regras de limitação padrão no API Gateway. Com base no seu caso de uso e nos volumes de transações esperados, recomendamos que você configure a limitação para o. APIs Para obter detalhes, consulte Solicitações da API Throttle para obter uma melhor taxa de transferência no Guia do desenvolvedor do Amazon API Gateway.

  • Habilitando a AWS CloudTrail — Como prática de segurança recomendada, considere habilitar a AWS CloudTrail na conta da AWS em que a solução está implantada para registrar chamadas de API na conta da AWS. Para obter detalhes, consulte o Guia CloudTrail do usuário da AWS.

  • Detecção de desvios - recomendamos configurar a detecção de desvios em CloudFormation pilhas para identificar e ser notificado sobre alterações não intencionais ou maliciosas na pilha de soluções implantadas. Para obter detalhes, consulte Implementação de um alarme para detectar automaticamente o desvio nas CloudFormation pilhas da AWS.

  • Cognito JSON Web Tokens (JWTs) - A solução usa tokens emitidos pelo Amazon Cognito JWTs para se autenticar com os endpoints da API REST. Configuramos a solução com uma expiração de cinco minutos para tokens de ID e tokens de acesso. Quando um usuário se desconecta, sua capacidade de gerar novos tokens é revogada (o token de atualização é revogado). No entanto, até a expiração do token atual, todas as solicitações para o endpoint da API serão autenticadas com sucesso, pois elas têm um token válido. Analise as considerações de segurança para seu caso de uso e ajuste o período de validade do token.

Personalização de políticas de ciclo de vida:

Para implantações de produção, revise e ajuste as políticas de ciclo de vida com base em seus requisitos de retenção. Consulte Definir a configuração do ciclo de vida em um bucket no Guia do usuário do Amazon Simple Storage Service.

Armazenamento de arquivos e ciclo de vida multimodais

Se você habilitou recursos de entrada multimodais (MultimodalEnableddefinidos comoYes) para seu caso de uso, a solução cria um bucket do Amazon S3 para armazenar arquivos enviados e uma tabela do DynamoDB para rastrear os metadados do arquivo.

Políticas de ciclo de vida padrão:

  • Arquivos S3: excluídos automaticamente após 48 horas

  • Metadados do DynamoDB: os registros expiram após 24 horas (TTL do histórico de conversas)

Considerações de segurança:

  • Os arquivos são particionados por ID de caso de uso, ID de usuário, ID de conversa e ID de mensagem e, em vez disso, um arquivo é armazenado com um nome UUID. O mapeamento do UUID para nomes de arquivos está disponível na tabela de metadados do DynamoDB

  • Os usuários só podem acessar os arquivos que eles enviaram em suas próprias conversas

  • A validação do tipo de arquivo é realizada usando a detecção mágica de números

  • Recomendamos ativar o Amazon GuardDuty Malware Protection for S3 para verificar se há conteúdo malicioso nos arquivos enviados.