Integration eines herkömmlichen Cloud-Workloads mit Amazon Bedrock - AWS Präskriptive Leitlinien
AnwendungskontoGeneratives KI-Konto

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Integration eines herkömmlichen Cloud-Workloads mit Amazon Bedrock

Der Umfang dieses Anwendungsfalls besteht darin, einen traditionellen Cloud-Workload zu demonstrieren, der in Amazon Bedrock integriert ist, um die Vorteile generativer KI-Funktionen zu nutzen. Das folgende Diagramm zeigt das Generative AI-Konto in Verbindung mit einem Beispielanwendungskonto. 

Integration eines herkömmlichen Cloud-Workloads mit Amazon Bedrock

Das Generative AI-Konto ist der Bereitstellung generativer KI-Funktionen mithilfe von Amazon Bedrock gewidmet. Das Anwendungskonto ist ein Beispiel für einen Beispiel-Workload. Die AWS Dienste, die Sie in diesem Konto verwenden, hängen von Ihren Anforderungen ab. Interaktionen zwischen dem Generative AI-Konto und dem Anwendungskonto verwenden Amazon BedrockAPIs. 

Das Anwendungskonto ist vom Generative AI-Konto getrennt, um Workloads nach Geschäftszwecken und Eigentumsverhältnissen zu gruppieren. Dies trägt dazu bei, den Zugriff auf sensible Daten in der generativen KI-Umgebung einzuschränken, und unterstützt die Anwendung unterschiedlicher Sicherheitskontrollen je nach Umgebung. Wenn die traditionelle Cloud-Arbeitslast in einem separaten Konto gespeichert wird, kann auch das Ausmaß der Auswirkungen unerwünschter Ereignisse begrenzt werden. 

Sie können generative KI-Anwendungen für Unternehmen für verschiedene Anwendungsfälle entwickeln und skalieren, die von Amazon Bedrock unterstützt werden. Einige häufige Anwendungsfälle sind Textgenerierung, virtuelle Unterstützung, Text- und Bildsuche, Textzusammenfassung und Bildgenerierung. Abhängig von Ihrem Anwendungsfall interagiert Ihre Anwendungskomponente mit einer oder mehreren Amazon Bedrock-Funktionen wie Wissensdatenbanken und Agenten. 

Anwendungskonto

Das Anwendungskonto hostet die primäre Infrastruktur und die Dienste für den Betrieb und die Wartung einer Unternehmensanwendung. In diesem Zusammenhang fungiert das Anwendungskonto als traditioneller Cloud-Workload, der mit dem von Amazon Bedrock verwalteten Service im Generative AI-Konto interagiert. Allgemeine bewährte Sicherheitsmethoden zur Sicherung dieses Kontos finden Sie im Abschnitt Workload OU-Anwendungskonto

Die bewährten Standardmethoden für die Anwendungssicherheit gelten wie für andere Anwendungen. Wenn Sie beabsichtigen, Retrieval Augmented Generation (RAG) zu verwenden, bei der die Anwendung mithilfe einer Textaufforderung des Benutzers relevante Informationen aus einer Wissensdatenbank wie einer Vektordatenbank abfragt, muss die Anwendung die Identität des Benutzers an die Wissensdatenbank weitergeben, und die Wissensdatenbank setzt Ihre rollen- oder attributbasierten Zugriffskontrollen durch.

Ein weiteres Entwurfsmuster für generative KI-Anwendungen besteht darin, Agenten zu verwenden, um Interaktionen zwischen einem Basismodell (FM), Datenquellen, Wissensdatenbanken und Softwareanwendungen zu orchestrieren. Die Agenten rufen aufAPIs, um im Namen des Benutzers, der mit dem Modell interagiert, Maßnahmen zu ergreifen. Der wichtigste Mechanismus, um das richtig zu machen, besteht darin, sicherzustellen, dass jeder Agent die Identität des Anwendungsbenutzers an die Systeme weitergibt, mit denen er interagiert. Sie müssen außerdem sicherstellen, dass jedes System (Datenquelle, Anwendung usw.) die Benutzeridentität versteht, seine Reaktionen auf Aktionen beschränkt, zu deren Ausführung der Benutzer berechtigt ist, und mit Daten reagiert, auf die der Benutzer zugreifen darf.

Es ist auch wichtig, den direkten Zugriff auf die Inferenzendpunkte des vortrainierten Modells zu beschränken, die zur Generierung von Schlussfolgerungen verwendet wurden. Sie möchten den Zugriff auf die Inferenzendpunkte einschränken, um die Kosten zu kontrollieren und die Aktivitäten zu überwachen. Wenn Ihre Inferenzendpunkte auf gehostet werdenAWS, z. B. bei Amazon Bedrock-Basismodellen, können Sie die Berechtigungen IAMzum Aufrufen von Inferenzaktionen steuern. 

Wenn Ihre KI-Anwendung Benutzern als Webanwendung zur Verfügung steht, sollten Sie Ihre Infrastruktur schützen, indem Sie Kontrollen wie Firewalls für Webanwendungen verwenden. Herkömmliche Cyberbedrohungen wie SQL Injections und Request Floods sind möglicherweise gegen Ihre Anwendung möglich. Da Aufrufe Ihrer Anwendung zu Aufrufen der Model-Inferenz führen und API Model-Inferenz-Aufrufe in der Regel kostenpflichtig sindAPIs, ist es wichtig, Überschwemmungen zu vermeiden, um unerwartete Gebühren durch Ihren FM-Anbieter zu minimieren. Firewalls für Webanwendungen bieten keinen Schutz vor Prompt-Injection-Bedrohungen, da diese Bedrohungen in natürlicher Sprache vorliegen. Firewalls gleichen Code (z. B., HTMLSQL, oder reguläre Ausdrücke) an Stellen ab, an denen er unerwartet ist (Text, Dokumente usw.). Verwenden Sie Schutzplanken, um sich vor Prompt-Injection-Angriffen zu schützen und die Modellsicherheit zu gewährleisten. 

Die Protokollierung und Überwachung von Inferenzen in generativen KI-Modellen ist entscheidend für die Aufrechterhaltung der Sicherheit und die Verhinderung von Missbrauch. Es ermöglicht die Identifizierung potenzieller Bedrohungsakteure, böswilliger Aktivitäten oder unbefugter Zugriffe und trägt dazu bei, rechtzeitig einzugreifen und Risiken zu mindern, die mit dem Einsatz dieser leistungsstarken Modelle verbunden sind.

Generatives KI-Konto

Je nach Anwendungsfall hostet das Generative AI-Konto alle generativen KI-Aktivitäten. Dazu gehören unter anderem der ModellaufrufRAG, Agenten und Tools sowie die Anpassung von Modellen. In den vorherigen Abschnitten werden spezifische Anwendungsfälle behandelt, um zu erfahren, welche Funktionen und Implementierungen für Ihren Workload erforderlich sind. 

Die in diesem Leitfaden vorgestellten Architekturen bieten ein umfassendes Framework für Unternehmen, die AWS Dienste nutzen, um generative KI-Funktionen sicher und effizient zu nutzen. Diese Architekturen kombinieren die vollständig verwalteten Funktionen von Amazon Bedrock mit bewährten Sicherheitsmethoden und bieten so eine solide Grundlage für die Integration generativer KI in traditionelle Cloud-Workloads und organisatorische Prozesse. Die spezifischen Anwendungsfälle, die behandelt werden, darunter die Bereitstellung generativer KI FMsRAG, Agenten und Modellanpassungen, decken ein breites Spektrum potenzieller Anwendungen und Szenarien ab. Diese Anleitung vermittelt Unternehmen das notwendige Verständnis der AWS Bedrock-Services und ihrer inhärenten und konfigurierbaren Sicherheitskontrollen, sodass sie fundierte Entscheidungen treffen können, die auf ihre individuellen Infrastruktur-, Anwendungs- und Sicherheitsanforderungen zugeschnitten sind.