將傳統雲端工作負載與 Amazon 基岩整合

此使用案例的範圍是展示與 Amazon Bedrock 整合的傳統雲端工作負載，以利用生成 AI 功能。 下圖說明生成 AI 帳戶與範例應用程式帳戶搭配使用。 

生成人工智慧帳戶致力於使用 Amazon 基岩來提供生成式 AI 功能。應用程式帳戶是範例工作負載的範例。您在此帳戶中使用的 AWS 服務視您的需求而定。生成人工智慧帳戶與應用程式帳戶之間的互動會使用 Amazon 基岩 API。 

應用程式帳戶與生成 AI 帳戶分開，以協助根據業務目的和擁有權對工作負載進行分組。這有助於限制生成 AI 環境中敏感資料的存取，並支援依環境應用不同的安全性控制。將傳統的雲端工作負載保存在單獨的帳戶中，也有助於限制不良事件的影響範圍。 

您可以根據 Amazon 基岩支援的各種使用案例來建置和擴展企業生成 AI 應用程式。一些常見的用例包括文本生成，虛擬幫助，文本和圖像搜索，文本摘要和圖像生成。視您的使用案例而定，您的應用程式元件會與一或多個 Amazon 基岩功能 (例如知識庫和代理程式) 互動。 

申請帳號

應用程式帳戶主控執行和維護企業應用程式的主要基礎結構和服務。在此情況下，應用程式帳戶充當傳統雲端工作負載，該工作負載會與生成人工智慧帳戶中的 Amazon 基岩管服務互動。如需保護此帳戶的一般安全性最佳作法，請參閱工作負載 OU 應用程式帳戶一節 

標準應用程式安全性最佳做法適用於其他應用程式。如果您打算使用擷取增強產生 (RAG)，應用程式會使用使用者提供的文字提示，從知識庫 (例如向量資料庫) 查詢相關資訊，應用程式就必須將使用者的身分傳播至知識庫，而知識庫會強制執行您的角色型或屬性型存取控制。

生成式 AI 應用程式的另一種設計模式是使用代理程式協調基礎模型 (FM)、資料來源、知識庫和軟體應用程式之間的互動。 代理程式呼叫 API，以代表與模型互動的使用者採取動作。取得正確的最重要機制是確定每個代理程式都會將應用程式使用者的身分傳播到與其互動的系統。您還必須確保每個系統 (資料來源、應用程式等) 瞭解使用者身分、將其回應限制為使用者有權執行的動作，以及回應使用者有權存取的資料。

同樣重要的是，限制直接存取用於產生推論的預先訓練模型的推論端點。您想要限制對推論端點的存取，以控制成本並監控活動。如果您的推論端點託管在 AWS 上 (例如使用 Amazon 基礎模型)，您可以使用 IAM 控制許可以叫用推論動作。 

如果您的 AI 應用程式可供使用者使用 Web 應用程式，您應該使用 Web 應用程式防火牆等控制項來保護您的基礎結構。傳統的網路威脅，例如 SQL 注入和要求洪水可能對您的應用程式有可能。由於呼叫應用程式會導致呼叫模型推論 API，以及模型推論 API 呼叫通常會收費，因此減少氾濫以將 FM 提供者產生的意外費用降到最低是很重要的。Web 應用程式防火牆無法防範即時插入威脅，因為這些威脅採用自然語言文字的形式。防火牆會在未預期的位置 (文字、文件等) 比對程式碼 (例如 HTML、SQL 或規則運算式)。為了協助防止迅速注入攻擊並確保模型安全，請使用護欄。 

生成式 AI 模型中的記錄和監控推論對於維護安全性和防止濫用至關重要。它可以識別潛在威脅參與者、惡意活動或未經授權的存取，並協助及時介入並減輕與部署這些功能強大模型相關的風險。

生成 AI 帳戶

根據使用案例，生成 AI 帳戶會託管所有生成 AI 活動。其中包括但不限於模型叫用、RAG、代理程式和工具，以及模型自訂。請參閱前面討論特定使用案例的章節，以瞭解您的工作負載需要哪些功能和實作。 

本指南中提供的架構為使用 AWS 服務的組織提供了全面的架構，以安全且有效率地利用生成 AI 功能。這些架構結合 Amazon Bdrock 的全受管功能與安全最佳實務，為將生成 AI 整合至傳統雲端工作負載和組織程序提供堅實的基礎。涵蓋的特定使用案例，包括提供生成式 AI FM、RAG、代理程式和模型自訂，可解決各種潛在應用程式和案例。本指南讓組織了解 AWS 基岩服務及其固有且可設定的安全控制，讓他們能夠根據其獨特的基礎設施、應用程式和安全要求，做出明智的決策。