Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Integración de una carga de trabajo en la nube tradicional con Amazon Bedrock

El objetivo de este caso de uso es demostrar una carga de trabajo en la nube tradicional que se integra con Amazon Bedrock para aprovechar las capacidades generativas de IA. El siguiente diagrama ilustra la cuenta de IA generativa junto con una cuenta de aplicación de ejemplo. 

La cuenta de IA generativa se dedica a proporcionar funciones de IA generativa mediante Amazon Bedrock. La cuenta de aplicación es un ejemplo de carga de trabajo. Los servicios de AWS que utilice en esta cuenta dependen de sus requisitos. Las interacciones entre la cuenta de Generative AI y la cuenta de la aplicación utilizan Amazon Bedrock APIs. 

La cuenta de la aplicación está separada de la cuenta de Generative AI para ayudar a agrupar las cargas de trabajo en función de los fines comerciales y la propiedad. Esto ayuda a restringir el acceso a los datos confidenciales en el entorno de IA generativa y permite la aplicación de distintos controles de seguridad por entorno. Mantener la carga de trabajo tradicional en la nube en una cuenta separada también ayuda a limitar el alcance del impacto de los eventos adversos. 

Puede crear y escalar aplicaciones de IA generativa empresarial en función de varios casos de uso compatibles con Amazon Bedrock. Algunos casos de uso comunes son la generación de texto, la asistencia virtual, la búsqueda de texto e imágenes, el resumen de texto y la generación de imágenes. Según su caso de uso, el componente de la aplicación interactúa con una o más capacidades de Amazon Bedrock, como bases de conocimiento y agentes. 

Cuenta de aplicación

La cuenta de aplicación aloja la infraestructura y los servicios principales para ejecutar y mantener una aplicación empresarial. En este contexto, la cuenta de la aplicación actúa como la carga de trabajo en la nube tradicional, que interactúa con el servicio gestionado de Amazon Bedrock en la cuenta Generative AI. Consulte la sección sobre la cuenta de la aplicación Workload OU para conocer las mejores prácticas de seguridad generales para proteger esta cuenta. 

Las mejores prácticas de seguridad de las aplicaciones estándar se aplican al igual que en otras aplicaciones. Si planea utilizar la generación aumentada de recuperación (RAG), en la que la aplicación consulta información relevante de una base de conocimientos, como una base de datos vectorial, mediante un mensaje de texto del usuario, la aplicación debe propagar la identidad del usuario a la base de conocimientos y la base de conocimientos aplica sus controles de acceso basados en roles o atributos.

Otro patrón de diseño para las aplicaciones de IA generativa consiste en utilizar agentes para organizar las interacciones entre un modelo básico (FM), las fuentes de datos, las bases de conocimiento y las aplicaciones de software. Los agentes llaman APIs para tomar medidas en nombre del usuario que interactúa con el modelo. El mecanismo más importante para hacerlo bien es asegurarse de que cada agente propague la identidad del usuario de la aplicación a los sistemas con los que interactúa. También debe asegurarse de que cada sistema (fuente de datos, aplicación, etc.) comprenda la identidad del usuario, limite sus respuestas a las acciones que el usuario esté autorizado a realizar y responda con datos a los que el usuario esté autorizado a acceder.

También es importante limitar el acceso directo a los puntos finales de inferencia del modelo previamente entrenados que se utilizaron para generar inferencias. Desea restringir el acceso a los puntos finales de la inferencia para controlar los costes y supervisar la actividad. Si sus puntos de enlace de inferencia están alojados en AWS, por ejemplo, con los modelos base de Amazon Bedrock, puede usar IAM para controlar los permisos para invocar acciones de inferencia. 

Si su aplicación de IA está disponible para los usuarios como aplicación web, debe proteger su infraestructura mediante controles como los firewalls de aplicaciones web. Es posible que su aplicación se vea afectada por las ciberamenazas tradicionales, como las inyecciones de SQL y los flujos de solicitudes. Dado que las invocaciones de su aplicación provocan invocaciones de la inferencia APIs del modelo y las llamadas a la API de inferencia del modelo suelen ser de pago, es importante mitigar las inundaciones para minimizar los cargos imprevistos por parte de su proveedor de FM. Los firewalls de aplicaciones web no protegen contra las amenazas de inyección inmediata, ya que estas amenazas se presentan en forma de texto en lenguaje natural. Los firewalls hacen coincidir el código (por ejemplo, HTML, SQL o expresiones regulares) en lugares donde es inesperado (texto, documentos, etc.). Para protegerse de los ataques de inyección inmediata y garantizar la seguridad del modelo, utilice barandas. 

El registro y la supervisión de las inferencias en los modelos de IA generativa son fundamentales para mantener la seguridad y evitar su uso indebido. Permite identificar los posibles actores de amenazas, las actividades maliciosas o el acceso no autorizado, y ayuda a intervenir y mitigar oportunamente los riesgos asociados con el despliegue de estos potentes modelos.

Cuenta de IA generativa

Según el caso de uso, la cuenta de IA generativa aloja todas las actividades de IA generativa. Estas incluyen, entre otras, la invocación de modelos, la RAG, los agentes y herramientas y la personalización de modelos. Consulte las secciones anteriores en las que se analizan casos de uso específicos para ver qué funciones e implementaciones son necesarias para su carga de trabajo. 

Las arquitecturas presentadas en esta guía ofrecen un marco integral para que las organizaciones que utilizan los servicios de AWS aprovechen las capacidades generativas de IA de forma segura y eficiente. Estas arquitecturas combinan la funcionalidad totalmente gestionada de Amazon Bedrock con las mejores prácticas de seguridad para proporcionar una base sólida para integrar la IA generativa en las cargas de trabajo en la nube tradicionales y los procesos organizativos. Los casos de uso específicos abordados, que incluyen la personalización de modelos FMs, agentes y IA generativa, RAG y modelos, abordan una amplia gama de posibles aplicaciones y escenarios. Esta guía proporciona a las organizaciones los conocimientos necesarios sobre los servicios de AWS Bedrock y sus controles de seguridad inherentes y configurables, lo que les permite tomar decisiones informadas adaptadas a sus requisitos únicos de infraestructura, aplicaciones y seguridad.