As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Etapa 4: configuração pós-implantação
Esta seção fornece recomendações para configurar a solução após a implantação.
## Controle de versão do bucket Amazon S3, políticas de ciclo de vida e replicação entre regiões
Essa solução não impõe configurações de ciclo de vida nos buckets que ela cria. Recomendamos o seguinte:
+ Definir configurações de ciclo de vida para implantações de produção. Para obter detalhes, consulte [Definir a configuração do ciclo de vida em um bucket no Guia](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) do *usuário do Amazon Simple Storage Service*.
+ Habilitando o [controle de versão e a](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) [replicação entre regiões para buckets do Amazon](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication.html) S3 com base no caso de uso para o qual a solução foi implantada.
## Backups do Amazon DynamoDB
Essa solução usa o DynamoDB para várias finalidades (consulte os [serviços da AWS nesta](architecture-details.md#aws-services-in-this-solution) solução). A solução não permite backups das tabelas que ela cria. Recomendamos criar um backup desse recurso para implantações de produção. Consulte [Backup de uma tabela do DynamoDB e Uso do AWS Backup for DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Backup.Tutorial.html) [para obter detalhes](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/backuprestore_HowItWorksAWS.html).
## CloudWatch Painel e alarmes da Amazon
A solução implanta um painel personalizado CloudWatch para renderizar gráficos de métricas personalizadas publicadas e métricas de serviços da AWS. Recomendamos criar CloudWatch [alarmes](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) e adicionar notificações com base no caso de uso para o qual a solução foi implantada.
## CloudWatch Registros da Amazon
Os registros do Lambda são configurados para nunca expirar e os registros do API Gateway são configurados com uma expiração de 10 anos. Você pode atualizar a expiração dos respectivos grupos de registros para se alinhar à política de retenção de registros da sua empresa.
## Domínios da web personalizados com certificados TLS v1.2 ou superior
A solução implanta uma interface de usuário da web e um Edge Optimized API Gateway usando CloudFront. CloudFrontO domínio de não impõe certificados TLS v1.2 ou superior. Recomendamos criar um domínio personalizado usando o [Amazon Route 53](https://aws.amazon.com/route53/), criar um certificado usando o [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/) ou usar um certificado existente, se sua organização tiver um.
Para obter detalhes adicionais, consulte o [Guia do desenvolvedor do Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-register.html) e [Escolha de uma versão mínima do TLS para um domínio personalizado no API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-custom-domain-tls-version.html).
## Escalabilidade com o Amazon Kendra
Essa solução fornece a capacidade de usar o Amazon Kendra para realizar pesquisas inteligentes baseadas em NLP nos documentos ingeridos. Você pode aumentar a capacidade do Amazon Kendra usando os CloudFormation seguintes parâmetros para cargas de trabalho maiores:
| Parâmetro | Padrão | Description |
| --- | --- | --- |
| [Capacidade adicional de consulta do Amazon Kendra](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-kendra-index-capacityunitsconfiguration.html#cfn-kendra-index-capacityunitsconfiguration-querycapacityunits) | `0` | A quantidade de capacidade extra de consulta para um índice e [GetQuerySuggestions](https://docs.aws.amazon.com/kendra/latest/dg/API_GetQuerySuggestions.html)capacidade. Uma unidade de capacidade adicional para um índice fornece aproximadamente 8.000 consultas por dia. |
| [Capacidade de armazenamento adicional do Amazon Kendra](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-kendra-index-capacityunitsconfiguration.html#cfn-kendra-index-capacityunitsconfiguration-storagecapacityunits) | `0` | A quantidade de capacidade de armazenamento extra para um índice. Uma unidade de capacidade única fornece 30 GB de espaço de armazenamento ou 100.000 documentos, o que ocorrer primeiro. |
| [Edição Amazon Kendra](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kendra-index.html) | `Developer` | O Amazon Kendra fornece as edições Developer e Enterprise para criar índices. [Para obter mais informações sobre as diferenças entre as edições Amazon Kendra, consulte os preços do Amazon Kendra.](https://aws.amazon.com/kendra/pricing/) |
Para modificar os valores desses CloudFormation parâmetros, selecione os valores apropriados no momento da implantação da pilha. Para obter mais informações sobre unidades de consulta e capacidade de armazenamento, consulte [Ajustando a capacidade](https://docs.aws.amazon.com/kendra/latest/dg/adjusting-capacity.html).
**nota**
Se o caso de uso do Text não for implantado com o RAG habilitado, um índice do Amazon Kendra não será usado ou criado.
## Configurando o SSO usando a federação Idp
Essa solução permite a integração com provedores de identidade externos que oferecem suporte à federação de identidade baseada em SAML ou OIDC. Quando a solução é implantada, ela cria um pool de usuários do Amazon Cognito e uma integração individual de clientes de aplicativos para o painel de implantação e casos de uso individuais. Com base no Idp externo, siga as etapas fornecidas na seção [Configuração de provedores de identidade para seu grupo de usuários do](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-identity-provider.html) Guia do *Desenvolvedor do Amazon Cognito* e escolha a integração do cliente do aplicativo para o painel de implantação ou o caso de uso com o qual você gostaria de configurar o SSO.
Para passar as informações do grupo de usuários para a base de conhecimento ou armazenamentos vetoriais em uma arquitetura baseada em RAG, você precisará mapear grupos de usuários do Idp externo para grupos de usuários do Amazon Cognito. [A solução fornece um gatilho inicial da [função Lambda](https://github.com/aws-solutions/generative-ai-application-builder-on-aws/tree/main/source/lambda/ext-idp-group-mapper) de andaime a ser mapeado com a fase de pré-geração do token.](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-lambda-pre-token-generation.html) A função Lambda tem o arquivo [group\$1mapping.json](https://github.com/aws-solutions/generative-ai-application-builder-on-aws/tree/main/source/lambda/ext-idp-group-mapper/config/group_mapping.json) que deve ser atualizado para fornecer os mapeamentos do grupo. Consulte [Personalização dos fluxos de trabalho do grupo de usuários com gatilhos Lambda para ver os acionadores Lambda](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools-working-with-aws-lambda-triggers.html) compatíveis com o Amazon Cognito.
## Configuração manual do grupo de usuários
Se você optar por não enviar um e-mail de administrador ou usuário padrão durante a implantação, deverá criar manualmente os grupos de usuários apropriados no Amazon Cognito para garantir as permissões corretas:
1. Para o painel de implantação, crie um grupo chamado `Admin` em seu grupo de usuários do Cognito.
1. Para cada caso de uso, crie um grupo chamado `${UseCaseName}-Users` em seu grupo de usuários do Cognito, onde `${UseCaseName}` está o nome do seu caso de uso implantado.
Esses grupos são necessários para que o mecanismo de autorização funcione corretamente. Todos os usuários aos quais você deseja conceder acesso devem ser adicionados aos grupos apropriados.
Se `placeholder@example.com` for aprovado, o grupo Cognito será criado, mas você ainda deverá criar os usuários associados e atribuí-los ao grupo.
## Personalizando a tela de login
Essa solução usa a [interface de usuário hospedada pelo Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-app-integration.html) para renderizar a página de login. *Para personalizar a página de login integrada, consulte [Personalização das páginas integradas de login e cadastro no Guia do Desenvolvedor do Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pools-app-ui-customization.html).*
## Considerações adicionais sobre segurança
Com base no caso de uso para o qual você implanta a solução, revise as seguintes recomendações de segurança:
+ Chaves de **criptografia do AWS KMS gerenciadas pelo cliente — A solução usa chaves** do AWS KMS gerenciadas pela AWS por padrão, pois elas estão disponíveis sem custo adicional. Analise seu caso de uso para determinar se você deve atualizar a solução para usar chaves do [AWS KMS gerenciadas pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk).
+ Regras de **limitação do API Gateway - A solução é implantada com regras** de limitação padrão no API Gateway. Com base no seu caso de uso e nos volumes de transações esperados, recomendamos que você configure a limitação para o. APIs Para obter detalhes, consulte [Solicitações da API Throttle para obter uma melhor taxa de transferência no Guia](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-request-throttling.html) do desenvolvedor do *Amazon API Gateway*.
+ **Habilitando a AWS CloudTrail** — Como prática de segurança recomendada, considere habilitar a [AWS CloudTrail](https://aws.amazon.com/cloudtrail/) na conta da AWS em que a solução está implantada para registrar chamadas de API na conta da AWS. Para obter detalhes, consulte o [Guia CloudTrail do usuário da AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
+ **Detecção de desvios** - recomendamos configurar a detecção de desvios em CloudFormation pilhas para identificar e ser notificado sobre alterações não intencionais ou maliciosas na pilha de soluções implantadas. Para obter detalhes, consulte [Implementação de um alarme para detectar automaticamente o desvio nas CloudFormation pilhas da AWS](https://aws.amazon.com/blogs/mt/implementing-an-alarm-to-automatically-detect-drift-in-aws-cloudformation-stacks/).
+ **Cognito JSON Web Tokens (JWTs) - A solução usa tokens** emitidos pelo Amazon Cognito JWTs para se autenticar com os endpoints da API REST. Configuramos a solução com uma expiração de cinco minutos para tokens de [ID e tokens](https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-user-pools-using-the-id-token.html) de [acesso](https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-user-pools-using-the-access-token.html). Quando um usuário se desconecta, sua capacidade de gerar novos tokens é revogada (o [token de atualização](https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-user-pools-using-the-refresh-token.html) é revogado). No entanto, até a expiração do token atual, todas as solicitações para o endpoint da API serão autenticadas com sucesso, pois elas têm um token válido. Analise as considerações de segurança para seu caso de uso e ajuste o período de validade do token.
**Personalização de políticas de ciclo de vida:**
Para implantações de produção, revise e ajuste as políticas de ciclo de vida com base em seus requisitos de retenção. Consulte [Definir a configuração do ciclo de vida em um bucket no Guia](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) do *usuário do Amazon Simple Storage Service*.
## Armazenamento de arquivos e ciclo de vida multimodais
Se você habilitou recursos de entrada multimodais (**MultimodalEnabled**definidos como`Yes`) para seu caso de uso, a solução cria um bucket do Amazon S3 para armazenar arquivos enviados e uma tabela do DynamoDB para rastrear os metadados do arquivo.
**Políticas de ciclo de vida padrão:**
+ **Arquivos S3:** excluídos automaticamente após 48 horas
+ **Metadados do DynamoDB**: os registros expiram após 24 horas (TTL do histórico de conversas)
**Considerações de segurança:**
+ Os arquivos são particionados por ID de caso de uso, ID de usuário, ID de conversa e ID de mensagem e, em vez disso, um arquivo é armazenado com um nome UUID. O mapeamento do UUID para nomes de arquivos está disponível na tabela de metadados do DynamoDB
+ Os usuários só podem acessar os arquivos que eles enviaram em suas próprias conversas
+ A validação do tipo de arquivo é realizada usando a detecção mágica de números
+ Recomendamos ativar o [Amazon GuardDuty Malware Protection for S3 para](https://docs.aws.amazon.com/guardduty/latest/ug/gdu-malware-protection-s3.html) verificar se há conteúdo malicioso nos arquivos enviados.