使用 Amazon Q 构建私有安全的企业生成性 AI 应用

关键要点

Amazon Q Business 是一款支持生成性 AI 的对话助手，旨在提高员工生产力。 与 AWS IAM Identity Center 的集成确保了用户身份验证和隐私保护，确保用户仅能访问他们有权查看的内容。本文展示了如何设置智能助手，以便员工可以安全地与应用互动，查询企业内容。

简介

截至 2024 年 4 月 30 日，Amazon Q Business 正式上线。它作为一种对话助手，通过回答问题和完成任务来提升员工生产力，基于企业系统中的信息运行。使用 Amazon Q Business 构建的网页应用，使员工能够安全私密地访问企业内容。这些应用的成功依赖于两个关键因素：首先，用户仅可以看到从他们获得访问权限的文档生成的响应；其次，每个用户的对话历史是私密的，仅用户本人可访问。

Amazon Q Business 通过在每次用户访问应用时验证身份，从而实施这一点，确保应用能够依据最终用户的身份限制任务和答案，确保所访问的信息仅限于用户具有权限的内容。这通过与 AWS IAM Identity Center 的结合实现，IAM Identity Center 存储用户身份，是 Amazon Q Business 应用程序的身份信息权威来源，每当用户访问 Amazon Q Business 应用程序时，便会验证用户身份。IAM Identity Center 可配置为使用企业身份提供者IdP，例如 Okta 或 Microsoft Entra ID 作为身份来源。Amazon Q Business 确保为企业文档生成的访问控制列表ACLs与 IAM Identity Center 提供的用户身份匹配，并在每次应用调用 Amazon Q Business API 响应用户查询时遵守这些 ACLs。

本文将展示 IAM Identity Center 如何作为一个网关，将企业 IdP 创建的用户身份引导到 Amazon Q Business，并展示 Amazon Q Business 如何使用这些身份安全、保密地回应用户查询。我们将以使用 Amazon Q Business 构建的一款生成性 AI 员工助手为例，演示如何设置该助手以仅使用每位员工有权限访问的企业内容进行响应，并展示员工如何与该助手进行安全、私密的对话。

解决方案概述

下图展示了企业 IdP、IAM Identity Center 实例和 Amazon Q Business 应用程序如何相互交互，以使经过身份验证的用户能够通过浏览器安全、私密地与 Amazon Q Business 应用程序进行交互。

在使用 Okta 等外部 IdP 时，用户和组首先在 IdP 中创建，然后使用 SCIM 协议自动与 IAM Identity Center 实例同步。当用户启动 Amazon Q Business 的网页体验时，系统使用单点登录对其与 IdP 进行身份验证，获得的令牌由 Amazon Q Business 用于验证与 IAM Identity Center 的用户身份。验证通过后，用户的对话会话开始。

本帖中的示例使用 IAM Identity Center 账户实例，其身份源配置为 Okta作为 IdP。随后，我们将内容从 Atlassian Confluence 中获取。Amazon Q Business 的内置连接器 用于获取在 Confluence 中配置的本地用户和组，以及空间和文档的 ACLs，并将其索引至 Amazon Q Business 应用程序中。这些来自数据源的用户将与配置在 IAM Identity Center 实例中的用户匹配，并在 Amazon Q Business 用户存储 中创建别名，以实现正确的 ACL 执行。

前提条件

要实施本文示例用例的解决方案，您需要一个 IAM Identity Center 实例和 Okta 身份提供者作为身份源。以下是有关这些资源的更多信息。

IAM Identity Center 实例

Amazon Q Business 应用需与 IAM Identity Center 实例 关联。IAM Identity Center 实例有两种类型： 组织实例 和 账户实例。Amazon Q Business 应用可以与任一类型的实例协同工作。这些实例存储由 IdP 创建的用户身份以及其中所包含用户的组。

对于生产用例，建议使用 IAM Identity Center 组织实例。组织实例的优势在于可供任何 AWS 账户中的 Amazon Q Business 应用使用，并且如果您的公司有多个跨不同 AWS 账户的 Amazon Q Business 应用，您仅需为每名用户支付一次。许多 AWS 企业客户使用组织架构，并将 IAM Identity Center 组织实例与其关联。

对于概念验证和部门用例，或者在 AWS 账户不属于 AWS Organization 的情况下，您可以使用 IAM Identity Center 账户实例以启用 Amazon Q Business 应用。在这种情况下，只有创建账户实例的 AWS 账户中配置的 Amazon Q Business 应用能够使用该实例。

Amazon Q Business 实施的是按用户订阅的计费。如果用户在不同账户和多个 Amazon Q Business 应用中唯一可识别，则其仅被收取一次。例如，如果多个 Amazon Q Business 应用位于同一个 AWS 账户内，且由与该账户绑定的 IAM Identity Center 实例唯一识别，则该用户在使用这些应用时仅被收费一次。如果您的组织有两个账户，并且您拥有组织级的 IAM Identity Center 实例，则在两账户中都被唯一识别的用户在两个账户中访问应用时亦仅收取一次费用。然而，如果您有两个账户级的 IAM Identity Center 实例，则在一个账户中的用户不能在另一个账户中被识别为同一用户，因为不存在中心身份。这意味着同一用户将被收费两次。因此，我们建议为生产用例使用组织级 IAM Identity Center 实例以达到成本优化的目的。

在这两种情况下，Amazon Q Business 应用需要与 IAM Identity Center 实例位于同一 AWS 区域。

身份源

如果您已经使用 Okta 或 Entra ID 等 IdP，可以继续将您首选的 IdP 与 Amazon Q Business 应用一起使用。在这种情况下，IAM Identity Center 实例配置为使用该 IdP 作为其身份源。来自 IdP 的用户和用户组可以 使用 SCIM 自动同步到 IAM Identity Center 实例。许多 AWS 企业客户已经为其 IAM Identity Center 组织实例配置了此功能。有关所有支持的 IdP 的更多信息，请参见 入门教程。这一过程对 IAM Identity Center 组织实例和账户实例是类似的。

使用 Okta 作为身份源配置的 AWS IAM Identity Center 实例

以下截图展示了在 Okta 中配置的 IAM Identity Center 应用，以及分配给此应用的来自 Okta 配置的用户和组。

以下截图显示了在将 Okta 配置为身份源后 IAM Identity Center 实例的用户存储。这些用户和组信息是通过跨域身份管理SCIMv20 协议自动提供同步的。

配置启用 IAM Identity Center 的 Amazon Q Business 应用

完成以下步骤以创建 Amazon Q Business 应用并启用 IAM Identity Center：

在 Amazon Q Business 控制台上，选择 创建应用。对于 应用名称，输入一个名称。除非您需要更改 AWS 身份和访问管理 (IAM) 角色或者自定义加密设置，否则请保留默认设置。

选择 创建。

在 选择检索器 页面，除非您想将现有的 Amazon Kendra 索引配置为检索器，或者需要为超过 20000 个文档配置存储单元，否则可以继续使用默认设置。

选择 下一步。

有关 Amazon Q Business 检索器的更多信息，请参考 为 Amazon Q Business 应用创建和选择检索器。

在 连接数据源 页面，对于 数据源，选择 Confluence。

以下指令展示如何 配置 Confluence 数据源。这些指令可能与其他数据源有所不同。

对于 数据源名称，输入一个名称。对于 源，选择 Confluence Cloud。

对于 Confluence URL，输入 Confluence URL。

对于 身份验证，选择 基本身份验证。

对于 AWS Secrets Manager 密钥，选择一个 AWS Secrets Manager 密钥。对于 虚拟私有云，选择 无 VPC。对于 IAM 角色，选择 创建新的服务角色。

对于 角色名称，可以使用提供的名称或对新角色进行编辑。

对于 同步范围，选择要同步的内容。

对于 同步模式，选择 完全同步。

对于 频率，选择 按需运行。

对于 字段映射，保留默认设置。

选择 添加数据源。

选择 下一步。22在 添加组和用户 页面上，选择 添加组和用户。

在弹出窗口中，选择 开始。

根据显示名称或组搜索用户，然后选择要添加到应用程序的用户或组。

根据需要添加更多用户。

选择 分配。

您将看到以下屏幕：

通过单击 选择订阅 下拉框为每个用户选择订阅，然后选择确认。

在为所有用户选择订阅后，您的屏幕将显示如下。如果您不想更改服务角色，则选择 创建应用。

创建应用后，您将看到应用设置页面，如下截图所示。

员工 AI 助手用例

为了说明如何使用 Amazon Q Business 应用为员工构建一个安全、私密的生成性 AI 助手，让我们设想一个企业里的员工 AI 助手示例。两位新员工 Mateo Jackson 和 Mary Major 加入了公司，分别参与两个不同的项目，并完成了员工培训。他们获得了公司笔记本电脑，其账户在公司 IdP 中进行了配置。他们被告知可向员工 AI 助手询问有关新团队成员活动和福利的任何问题。

该公司使用 Confluence 管理企业内容。用于运行本帖场景的示例 Amazon Q 应用配置了一个使用内置连接器的 Confluence 数据源，以索引员工使用的企业 Confluence 空间。该示例使用了三个 Confluence 空间：AnyOrgApp 项目、ACME 项目空间和 AJDEMOHRSPACE。这些空间的访问权限如下：

AJDEMOHRSPACE 所有员工，包括 Mateo 和 MaryAnyOrgApp 项目 分配给该项目的员工，包括 MateoACME 项目空间 分配给该项目的员工，包括 Mary

让我们看看 Mateo 和 Mary 如何体验他们的员工 AI 助手。

安易加速器安卓

两人都获得了员工 AI 助手网页体验的 URL。他们使用该 URL 从笔记本电脑的浏览器中登录 IdP。Mateo 和 Mary 都想了解他们的新团队成员活动以及同事。他们向员工 AI 助手提出了相同的问题，但得到了不同的响应，因为他们分别访问不同的项目。在以下截图中，左侧的浏览器窗口是 Mateo Jackson 频，右侧的窗口是 Mary Major。Mateo 获取了关于 AnyOrgApp 项目的信息，而 Mary 则获取了关于 ACME 项目的信息。

Mateo 选择在有关团队成员的问题下的 来源 来更详细地查看团队成员的信息，而 Mary 选择在新团队成员入职