使用 Amazon Q 商业版与 IAM 联邦建立私密安全的企业生成式 AI 应用程式
关键要点
本文介绍如何利用 Amazon Q 商业版和 IAM 联邦来构建安全而私密的企业生成式 AI 应用程式。这个解决方案可以直接从企业身份提供者 (IdP) 管理用户访问,无需使用 IAM 身份中心,适合各种规模的企业。只需遵循简单的设置步骤,即可如同在 AWS Organizations 中一样进行高效管理。
Amazon Q 商业版是一个通过生成式 AI 提升员工生产力的对话平台,可以根据企业系统中每位用户的授权信息来回答问题和完成任务。如果您希望使用 Amazon Q 商业版来搭建企业生成式 AI 应用程式,但尚未在整个组织中使用 AWS IAM 身份中心,您仍然可以选择利用 Amazon Q 商业版 IAM 联邦,借此从您的企业身份提供者例如 Okta 或 Ping Identity直接管理用户访问。
概述解决方案
为实现这个方案,您需要根据您的 IdP 应用整合创建一个 SAML 或 OIDC 的 IAM 身份提供者。创建 Amazon Q 商业版应用程式时,可以选择并配置对应的 IAM 身份提供者。
在响应已验证用户的请求时,Amazon Q 商业版应用程式将使用 IAM 身份提供者配置来验证用户身份。应用程式可通过实施访问控制列表 (ACL),安全地生成仅包含用户有权访问的企业内容的响应。
魔方加速器安卓版我们使用之前的范例,一个基于 Amazon Q 商业版的生成式 AI 员工助手,来演示如何使用 IAM 联邦设置以确保仅使用每位员工有权访问的企业内容进行响应,因此员工能够与这个助手安全地进行对话。
架构
Amazon Q 商业版的 IAM 联邦需要与您企业的 IdP如 Okta 或 Ping Identity联邦用户身份。这涉及在您的 IdP 帐户中一次性设置 SAML 或 OIDC 应用整合,然后在 AWS IAM 中创建对应的 SAML 身份提供者或 OIDC 身份提供者。该身份提供者用于验证并信任通过企业 IdP 验证的用户联邦身份,并为每个用户关联唯一身份。
以下是用户身份认证的高级架构和认证工作流程:
客户端应用程序代表用户向 IdP 发出身份验证请求。IdP 在 OIDC 模式下以身份或访问令牌响应,或者在 SAML 20 模式下返回 SAML 断言。Amazon Q 商业版 IAM 联邦的订阅运作方式
使用 IAM 身份中心与 IAM 联邦时,用户订阅处理方式不同。
IAM 身份中心:AWS 会避免在使用同一 IAM 身份中心实例的 Amazon Q 商业应用程式中出现重复订阅;用户仅需为其最高订阅等级支付一次费用。这样,使用相同 AWS Organizations 帐户的用户仅需支付一次。
IAM 联邦:用户在与相同 IAM 身份提供者共享的情况下,仅需支付一次。只有在相同 AWS 帐户内的应用程式才能共享相同 IAM 身份提供者。
限制
当前版本的 Amazon Q 商业版 IAM 联邦有以下限制:
不支援 Google 和 Microsoft Entra ID 的 OIDC。使用 SAML IAM 身份提供者的每个 Amazon Q 商业应用无法共享身份提供者,因此无法避免订阅重复。选择用户访问机制的指导方针
联邦类型AWS 帐户配置Amazon Q 商业计费行为支援的身份来源备注IAM 身份中心的组织实例 [推荐]支援大型多帐户 AWS 组织使用者因整个 AWS 组织上的最一个订阅一次计费最佳IAM 身份中心支援的身份来源AWS 建议此配置IAM 身份中心的帐户实例单个 AWS 帐户,单区域每个用户因每个 AWS 帐户的一个订阅一次计费IAM 身份中心支援的身份来源适用于概念证明或临时试验使用 OIDC IAM 身份提供者的 IAM 联邦单个 AWS 帐户每个用户因每个使用的 OIDC IAM 身份提供者的一个订阅一次计费集成了 OIDC 的 IdP使用 SAML IAM 身份提供者的 IAM 联邦单个 AWS 帐户每个用户因每个使用的 SAML IAM 身份提供者的一个订阅一次计费集成了 SAML 的 IdP无法共享相同的 SAML IAM 身份提供者,导致重复计费先决条件
要实现本文所描述的示例用例,您需要一个 Okta 帐户。本文将涵盖 OIDC 和 SAML 20 的工作流程,可以根据自己的兴趣选择其中之一或两者。您需要为 OIDC 或 SAML 模式创建应用程序整合,然后在 AWS 中配置相应的 IAM 身份提供者,这对于创建和配置 Amazon Q 商业应用是必需的。
使用 OIDC IAM 身份提供者创建 Amazon Q 商业应用
要设置使用 OIDC IAM 身份提供者的 Amazon Q 商业应用,首先配置 Okta 应用整合。然后建立该 OIDC 应用整合的 IAM 身份提供者,最后使用该 OIDC IAM 身份提供者创建 Amazon Q 商业应用。
在 Okta 中创建 OIDC 应用整合
请遵循以下步骤创建您的 OIDC 应用整合:
在 Okta 管理控制台上,选择 应用程序,然后在导航窗格中选择 应用程序。选择 创建应用整合。对于 登录方式,选择 OIDC。对于 应用程序类型,选择 Web 应用程序。选择 下一步。给您的应用整合命名。选择 授权码 和 刷新令牌 作为 授权类型。确认 刷新令牌行为 设置为 使用持久令牌。对于 登录重定向 URI,提供占位符值,如 https//examplecom/authorizationcode/callback。然后再使用您创建的 Amazon Q 商业应用的网页体验 URI 进行更新。
在 分配 标签中,将适当的用户权限分配给您的 Amazon Q 商业应用。在此步骤中,您可以选择 Okta 组织中的所有用户,或者选择特定的群组,如 FinanceGroup如果定义了,或选择个别用户。
选择 保存 以保存应用整合。至此,您的应用整合会显示如下图所示。
记下 客户端 ID 和 客户端密钥 的值,以供后续步骤使用。这是一个惊人的新进展。
为 OIDC 设置 IAM 身份提供者
要为 OIDC 设置 IAM 身份提供者,请完成以下步骤:
在 IAM 控制台中,选择导航窗格中的 身份提供者。选择 添加提供者。对于 提供者类型,选择 OpenID Connect。对于 提供者 URL,输入您之前复制的 Okta URL,包括 /oauth2/default。对于 受众,输入您之前复制的客户端 ID。选择 添加提供者。使用 OIDC IAM 身份提供者创建 Amazon Q 商业应用
请完成以下步骤以使用 OIDC IdP 创建 Amazon Q 商业应用:
在 Amazon Q 商业控制台上,选择 创建应用。为应用提供名称。对于 访问管理方法,选择 AWS IAM 身份提供者。对于 选择身份提供者类型,选择 OpenID Connect (OIDC)。对于 选择身份提供者,选择您刚刚创建的 IdP。对于 客户端 ID,输入您之前复制的 Okta 应用整合的客户端 ID。保持其余设置为默认,然后选择 创建。当然,您可能会希望定制与您业务相关的其他资源。
在线管理 Amazon Q 商业应用
您可以在 Amazon Q 商业应用页面上管理用户和资源,以确保用户的最佳体验。请遵循类似的策略,根据员工的需求和身份,灵活调整应用的内容和服务。
希望这篇文章能够更好地帮助您了解如何利用 Amazon Q 商业版 IAM 联邦组建私密和安全的生成式 AI 应用!有关详细信息和后续支持,请访问 Amazon Q 商业用户指南。
