本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
此使用案例的範圍是示範與 Amazon Bedrock 整合的傳統雲端工作負載,以利用生成式 AI 功能。下圖說明 生成式 AI 帳戶與範例應用程式帳戶。
生成式 AI 帳戶專用於使用 Amazon Bedrock 提供生成式 AI 功能。應用程式帳戶是範例工作負載。您在此帳戶中使用的 AWS 服務取決於您的需求。生成式 AI 帳戶與應用程式帳戶之間的互動會使用 Amazon Bedrock APIs。
應用程式帳戶與生成式 AI 帳戶分開,協助根據業務目的和所有權來分組工作負載。這有助於限制對生成式 AI 環境中敏感資料的存取,並支援依環境套用不同的安全控制。將傳統雲端工作負載保留在不同的帳戶中,也有助於限制不良事件的影響範圍。
您可以根據 Amazon Bedrock 支援的各種使用案例來建置和擴展企業生成 AI 應用程式。一些常見的使用案例包括文字產生、虛擬協助、文字和影像搜尋、文字摘要和影像產生。根據您的使用案例,您的應用程式元件會與一或多個 Amazon Bedrock 功能互動,例如知識庫和代理程式。
應用程式帳戶
應用程式帳戶託管主要基礎設施和服務,以執行和維護企業應用程式。在這種情況下,應用程式帳戶會充當傳統雲端工作負載,與生成式 AI 帳戶中的 Amazon Bedrock 受管服務互動。如需保護此帳戶的一般安全最佳實務,請參閱工作負載 OU 應用程式帳戶一節。
標準應用程式安全最佳實務適用於其他應用程式。如果您計劃使用擷取擴增產生 (RAG),其中應用程式會使用使用者的文字提示,從知識庫查詢向量資料庫
生成式 AI 應用程式的另一個設計模式是使用代理
也請務必限制直接存取預先訓練模型用來產生推論的推論端點。您想要限制對推論端點的存取,以控制成本和監控活動。如果您的推論端點託管在 AWS 上,例如使用 Amazon Bedrock 基礎模型,您可以使用 IAM
如果您的 AI 應用程式可作為 Web 應用程式供使用者使用,您應該使用 Web 應用程式防火牆等控制項來保護您的基礎設施。傳統網路威脅,例如 SQL 注入和請求洪水,可能針對您的應用程式。由於您的應用程式調用會導致模型推論 APIs的調用,且模型推論 API 呼叫通常需要收費,因此請務必減輕洪水,將 FM 供應商的意外費用降至最低。Web 應用程式防火牆無法防範即時注入
在生成式 AI 模型中記錄和監控推論對於維護安全性和防止濫用至關重要。它可以識別潛在的威脅發動者、惡意活動或未經授權的存取,並有助於及時介入和緩解與部署這些強大模型相關的風險。
生成式 AI 帳戶
根據使用案例,生成式 AI 帳戶會託管所有生成式 AI 活動。其中包括但不限於模型調用、RAG、代理程式和工具,以及模型自訂。請參閱前面討論特定使用案例的章節,以了解工作負載需要哪些功能和實作。
本指南中介紹的架構為使用 AWS 服務以安全有效地利用生成式 AI 功能的組織提供了全面的架構。這些架構結合了 Amazon Bedrock 的全受管功能與安全最佳實務,為將生成 AI 整合到傳統雲端工作負載和組織程序提供了堅實的基礎。涵蓋的特定使用案例,包括提供生成式 AI FMs、RAG、代理程式和模型自訂,可處理各種潛在的應用程式和案例。本指南可讓組織充分了解 AWS Bedrock 服務及其固有和可設定的安全控制,讓他們能夠根據其獨特的基礎設施、應用程式和安全需求做出明智的決策。
