Komponenten der NetApp GenAI Engine
Änderungen vorschlagen
PDFs
Wenn Sie die GenAI-Infrastruktur bereitstellen, erstellt Workload Factory eine EC2-Instanz für die GenAI-Engine. Außerdem werden eine IAM-Rolle, eine Sicherheitsgruppe und private Endpunkte für diese Instanz erstellt. Möglicherweise möchten Sie mehr Details zu diesen Komponenten erfahren, die Workload Factory in Ihrer AWS-Umgebung erstellt.
- EC2 Instanztyp
-
m5.large
- IAM-Rolle
-
Die GenAI-Engine-Instanz benötigt die Berechtigungen, um Datenblöcke an das Einbettungsmodell in Amazon Bedrock zu senden und mit dem NetApp AI Service Back-End zu kommunizieren. Die IAM-Rolle umfasst die folgenden Berechtigungen:
IAM-Rollenberechtigungen
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy", "iam:PassRole" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ssm:DescribeDocument", "ssm:DescribeAssociation", "ssm:GetDeployablePatchSnapshotForInstance", "ssm:GetManifest", "ssm:ListInstanceAssociations", "ssm:ListAssociations", "ssm:PutInventory", "ssm:PutComplianceItems", "ssm:PutConfigurePackageResult", "ssm:UpdateAssociationStatus", "ssm:UpdateInstanceAssociationStatus", "ssm:UpdateInstanceInformation", "ssmmessages:CreateControlChannel", "ssmmessages:CreateDataChannel", "ssmmessages:OpenControlChannel", "ssmmessages:OpenDataChannel" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ssm:GetParameter" ], "Resource": "arn:aws:ssm:*:*:parameter/netapp/wlmai/*", "Effect": "Allow" }, { "Action": [ "fsx:DescribeVolumes", "fsx:DescribeStorageVirtualMachines", "fsx:DescribeFileSystems" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "fsx:TagResource", "fsx:ListTagsForResource" ], "Resource": [ "arn:aws:fsx:*:*:storage-virtual-machine/*/*", "arn:aws:fsx:*:*:volume/*/*" ], "Effect": "Allow" }, { "Action": [ "fsx:CreateVolume" ], "Resource": [ "arn:aws:fsx:*:*:volume/*/*", "arn:aws:fsx:*:*:storage-virtual-machine/*/*" ], "Effect": "Allow" }, { "Condition": { "StringLike": { "aws:ResourceTag/netapp:wlmai:<id>:kbId": "*" } }, "Action": "fsx:DeleteVolume", "Resource": [ "arn:aws:fsx:*:*:volume/*/*", "arn:aws:fsx:*:*:backup/*" ], "Effect": "Allow" }, { "Condition": { "StringLike": { "aws:ResourceTag/netapp:wlmai:<id>:qConnectorId": "*" } }, "Action": "fsx:DeleteVolume", "Resource": [ "arn:aws:fsx:*:*:volume/*/*", "arn:aws:fsx:*:*:backup/*" ], "Effect": "Allow" }, { "Condition": { "StringLike": { "aws:ResourceTag/netapp:wlmai:<id>": "*" } }, "Action": "fsx:UntagResource", "Resource": "arn:aws:fsx:*:*:storage-virtual-machine/*/*", "Effect": "Allow" }, { "Condition": { "StringLike": { "aws:ResourceTag/netapp:wlmai:<id>:kbId": "*" } }, "Action": "fsx:UntagResource", "Resource": "arn:aws:fsx:*:*:volume/*/*", "Effect": "Allow" }, { "Condition": { "StringLike": { "aws:ResourceTag/netapp:wlmai:<id>:qConnectorId": "*" } }, "Action": "fsx:UntagResource", "Resource": "arn:aws:fsx:*:*:volume/*/*", "Effect": "Allow" }, { "Action": [ "bedrock:InvokeModel", "bedrock:Rerank", "bedrock:GetFoundationModel", "bedrock:GetInferenceProfile", "bedrock:GetModelInvocationLoggingConfiguration", "bedrock:PutModelInvocationLoggingConfiguration" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ec2messages:GetMessages", "ec2messages:GetEndpoint", "ec2messages:AcknowledgeMessage", "ec2messages:DeleteMessage", "ec2messages:FailMessage", "ec2messages:SendReply" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "qbusiness:ListWebExperiences", "qbusiness:ListApplications", "qbusiness:GetApplication", "qbusiness:CreateDataSource", "qbusiness:DeleteDataSource", "qbusiness:ListIndices", "qbusiness:StartDataSourceSyncJob", "qbusiness:StopDataSourceSyncJob", "qbusiness:ListDataSourceSyncJobs", "qbusiness:BatchPutDocument", "qbusiness:BatchDeleteDocument" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "logs:DescribeLogGroups" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "logs:DescribeLogStreams", "logs:PutLogEvents", "logs:CreateLogStream", "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/bedrock*", "arn:aws:logs:*:*:log-group:/netapp/wlmai/*:log-stream:*", "arn:aws:logs:*:*:log-group:/netapp/wlmai/*" ], "Effect": "Allow" }, { "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Effect": "Allow" } ] } - Sicherheitsgruppe
-
Die Regeln für ausgehende Anrufe sind für den gesamten Datenverkehr offen, während die Regeln für eingehende Anrufe vollständig geschlossen sind.
- Private Endpunkte
-
Wenn die Ziel-VPC diese noch nicht hat, erstellt Workload Factory private Endpunkte für die EC2-Instance der GenAI-Engine, damit diese mit den folgenden AWS-Diensten kommunizieren kann:
-
Amazonas-Grundgestein
-
Grundgestein
-
Bedrock-Runtime
-
Bedrock-Agent-Runtime
-
-
Amazon Elastic Container Registry (ECR)
-
API
-
docker
-
-
AWS System Manager (SSM)
-
SSM
-
ec2messages
-
Ssmbotschaften
-
-
Amazon FSX für NetApp ONTAP
-
Amazon CloudWatch
-