本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
將傳統雲端工作負載與 Amazon 基岩整合
此使用案例的範圍是展示與 Amazon Bedrock 整合的傳統雲端工作負載,以利用生成 AI 功能。 下圖說明生成 AI 帳戶與範例應用程式帳戶搭配使用。
生成人工智慧帳戶致力於使用 Amazon 基岩來提供生成式 AI 功能。應用程式帳戶是範例工作負載的範例。您在此帳戶中使用的 AWS 服務視您的需求而定。生成人工智慧帳戶與應用程式帳戶之間的互動會使用 Amazon 基岩 API。
應用程式帳戶與生成 AI 帳戶分開,以協助根據業務目的和擁有權對工作負載進行分組。這有助於限制生成 AI 環境中敏感資料的存取,並支援依環境應用不同的安全性控制。將傳統的雲端工作負載保存在單獨的帳戶中,也有助於限制不良事件的影響範圍。
您可以根據 Amazon 基岩支援的各種使用案例來建置和擴展企業生成 AI 應用程式。一些常見的用例包括文本生成,虛擬幫助,文本和圖像搜索,文本摘要和圖像生成。視您的使用案例而定,您的應用程式元件會與一或多個 Amazon 基岩功能 (例如知識庫和代理程式) 互動。
申請帳號
應用程式帳戶主控執行和維護企業應用程式的主要基礎結構和服務。在此情況下,應用程式帳戶充當傳統雲端工作負載,該工作負載會與生成人工智慧帳戶中的 Amazon 基岩管服務互動。如需保護此帳戶的一般安全性最佳作法,請參閱工作負載 OU 應用程式帳戶一節
標準應用程式安全性最佳做法適用於其他應用程式。如果您打算使用擷取增強產生 (RAG),應用程式會使用使用者提供的文字提示,從知識庫 (例如向量
生成式 AI 應用程式的另一種設計模式是使用代理
同樣重要的是,限制直接存取用於產生推論的預先訓練模型的推論端點。您想要限制對推論端點的存取,以控制成本並監控活動。如果您的推論端點託管在 AWS 上 (例如使用 Amazon 基礎模型),您可以使用 IAM
如果您的 AI 應用程式可供使用者使用 Web 應用程式,您應該使用 Web 應用程式防火牆等控制項來保護您的基礎結構。傳統的網路威脅,例如 SQL 注入和要求洪水可能對您的應用程式有可能。由於呼叫應用程式會導致呼叫模型推論 API,以及模型推論 API 呼叫通常會收費,因此減少氾濫以將 FM 提供者產生的意外費用降到最低是很重要的。Web 應用程式防火牆無法防範即時插入
生成式 AI 模型中的記錄和監控推論對於維護安全性和防止濫用至關重要。它可以識別潛在威脅參與者、惡意活動或未經授權的存取,並協助及時介入並減輕與部署這些功能強大模型相關的風險。
生成 AI 帳戶
根據使用案例,生成 AI 帳戶會託管所有生成 AI 活動。其中包括但不限於模型叫用、RAG、代理程式和工具,以及模型自訂。請參閱前面討論特定使用案例的章節,以瞭解您的工作負載需要哪些功能和實作。
本指南中提供的架構為使用 AWS 服務的組織提供了全面的架構,以安全且有效率地利用生成 AI 功能。這些架構結合 Amazon Bdrock 的全受管功能與安全最佳實務,為將生成 AI 整合至傳統雲端工作負載和組織程序提供堅實的基礎。涵蓋的特定使用案例,包括提供生成式 AI FM、RAG、代理程式和模型自訂,可解決各種潛在應用程式和案例。本指南讓組織了解 AWS 基岩服務及其固有且可設定的安全控制,讓他們能夠根據其獨特的基礎設施、應用程式和安全要求,做出明智的決策。