IAM-Anmeldedaten

Übersicht

• AWS Bedrock: Ein vollständig verwalteter Service, der über AWS Zugriff auf führende generative AI-Modelle (z. B. Anthropic Claude, Amazon Nova) bietet.
  Erfahren Sie mehr über AWS Bedrock.
• Careti: Eine VS Code-Erweiterung, die als Coding-Assistent fungiert, indem sie AI-Modelle integriert – sie unterstützt Entwickler bei der Generierung von Code, beim Debugging und bei der Datenanalyse.
• Enterprise-Fokus: Dieser Leitfaden ist auf Organisationen mit etablierten AWS-Umgebungen (unter Verwendung von IAM Roles, AWS SSO, AWS Organizations usw.) zugeschnitten, um eine sichere und konforme Nutzung zu gewährleisten.

---

Schritt 1: Bereiten Sie Ihre AWS-Umgebung vor

1.1 Erstellen oder Verwenden eines IAM Users/einer IAM Role

1. Anmeldung in der AWS Management Console:
   AWS Console
2. Zugriff auf IAM:
   • Suchen Sie in der AWS Console nach IAM (Identity and Access Management).
   • Erstellen Sie entweder einen neuen IAM User oder nutzen Sie das AWS SSO Ihres Unternehmens, um eine dedizierte Role für den Zugriff auf Bedrock zu übernehmen.
   • AWS IAM User Guide

1.2 Anhängen der erforderlichen Policies

Um sicherzustellen, dass Careti mit AWS Bedrock interagieren kann, benötigt Ihr IAM User oder Ihre IAM Role spezifische Berechtigungen. Während die Managed Policy AmazonBedrockLimitedAccess umfassenden Zugriff bietet, sind für ein restriktiveres und sichereres Setup gemäß dem Prinzip der geringsten Berechtigungen (Least Privilege) die folgenden minimalen Berechtigungen für die Kernfunktionalität der Modellaufrufe von Careti ausreichend:

• bedrock:InvokeModel
• bedrock:InvokeModelWithResponseStream

Sie können eine benutzerdefinierte IAM Policy mit diesen Berechtigungen erstellen und sie Ihrem IAM User oder Ihrer Role anhängen.

Option 1: Minimale Berechtigungen (empfohlen für Production & Least Privilege)

1. Erstellen Sie in der AWS IAM-Konsole eine neue Policy.
2. Verwenden Sie den JSON-Editor, um das folgende Policy-Dokument hinzuzufügen:

   {
   	"Version": "2012-10-17",
   	"Statement": [
   		{
   			"Effect": "Allow",
   			"Action": ["bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream"],
   			"Resource": "*" // Zur Erhöhung der Sicherheit sollten Sie dies nach Möglichkeit auf spezifische Modell-ARNs beschränken.
   		}
   	]
   }

3. Benennen Sie die Policy (z. B. ClineBedrockInvokeAccess) und hängen Sie sie Ihrem IAM User oder Ihrer Role an.

Option 2: Verwendung einer Managed Policy (einfachere Ersteinrichtung)

• Alternativ können Sie die von AWS verwaltete Policy AmazonBedrockLimitedAccess anhängen. Diese gewährt umfangreichere Berechtigungen, einschließlich der Auflistung von Modellen, der Verwaltung der Bereitstellung und anderer Bedrock-Funktionen. Dies kann für die Ersteinrichtung oder wenn Sie diese erweiterten Funktionen benötigen, einfacher sein. Details zur AmazonBedrockLimitedAccess Policy anzeigen

Wichtige Überlegungen:

• Modellauflistung in Careti: Die minimalen Berechtigungen (bedrock:InvokeModel, bedrock:InvokeModelWithResponseStream) reichen aus, damit Careti ein Modell nutzen kann, wenn Sie die Modell-ID direkt in den Einstellungen von Careti angeben. Wenn Sie darauf angewiesen sind, dass Careti verfügbare Bedrock-Modelle dynamisch auflistet, benötigen Sie möglicherweise zusätzliche Berechtigungen wie bedrock:ListFoundationModels.
• AWS Marketplace-Abonnements: Stellen Sie für Modelle von Drittanbietern (z. B. Anthropic Claude) sicher, dass Sie aktive AWS Marketplace-Abonnements haben. Dies wird in der Regel in der AWS Bedrock-Konsole unter "Model access" verwaltet und erfordert möglicherweise aws-marketplace:Subscribe-Berechtigungen, falls dies noch nicht geschehen ist.
• Enterprise-Tipp: Wenden Sie stets Best Practices für Least Privilege an. Beschränken Sie Resource ARNs in Ihren IAM Policies nach Möglichkeit auf spezifische Modelle oder Regionen. Nutzen Sie Service Control Policies (SCPs) für die übergeordnete Governance in AWS Organizations.

---

Schritt 2: Regionale Verfügbarkeit und Modellzugriff überprüfen

2.1 Region wählen und bestätigen

1. Wählen Sie eine Region:
   AWS Bedrock ist in mehreren Regionen verfügbar (z. B. US East, Europe, Asia Pacific). Wählen Sie die Region, die Ihren Anforderungen an Latenz und Compliance entspricht.
   AWS Global Infrastructure
2. Modellzugriff überprüfen:
   • Bestätigen Sie in der AWS Bedrock-Konsole, dass die von Ihrem Team benötigten Modelle (z. B. Anthropic Claude, Amazon Nova) als "Access granted" markiert sind.
   • Hinweis: Einige fortschrittliche Modelle erfordern möglicherweise ein Inference Profile, wenn sie nicht On-Demand verfügbar sind.

2.2 AWS Marketplace-Abonnements einrichten (falls erforderlich)

1. Drittanbieter-Modelle abonnieren:
   • Navigieren Sie zur AWS Bedrock-Konsole und suchen Sie den Bereich für Modell-Abonnements.
   • Akzeptieren Sie für Modelle von Drittanbietern (z. B. Anthropic) die Bedingungen, um diese zu abonnieren.
   • AWS Marketplace
2. Enterprise-Tipp:
   • Modell-Abonnements werden oft zentral verwaltet. Klären Sie mit Ihrem Cloud-Team, ob ein Standard-Abonnementprozess existiert.

---

Schritt 3: Die Careti VS Code-Erweiterung konfigurieren

3.1 Careti installieren und öffnen

1. VS Code installieren:
   Download von der VS Code-Website.
2. Die Careti-Erweiterung installieren:
   • Öffnen Sie VS Code.
   • Gehen Sie zum Extensions Marketplace (Ctrl+Shift+X oder Cmd+Shift+X).
   • Suchen Sie nach Careti und installieren Sie es.

3.2 Careti-Einstellungen konfigurieren

1. Careti-Einstellungen öffnen:
   • Klicken Sie auf das Zahnrad-Symbol ⚙️, um Ihren API Provider auszuwählen.
2. AWS Bedrock als API Provider auswählen:
   • Wählen Sie aus dem API Provider-Dropdown AWS Bedrock aus.
3. Ihre AWS-Anmeldedaten eingeben:
   • Geben Sie Ihren Access Key und Secret Key ein (oder verwenden Sie temporäre Anmeldedaten, wenn Sie AWS SSO nutzen).
   • Geben Sie die korrekte AWS Region an (z. B. us-east-1 oder die von Ihrem Unternehmen genehmigte Region).
4. Ein Modell auswählen:
   • Wählen Sie ein On-Demand-Modell (z. B. anthropic.claude-3-5-sonnet-20241022-v2:0).
5. Speichern und Testen:
   • Klicken Sie auf Done/Save, um Ihre Einstellungen zu übernehmen.
   • Testen Sie die Integration, indem Sie einen einfachen Prompt senden (z. B. "Generiere eine Python-Funktion, um zu prüfen, ob eine Zahl eine Primzahl ist.").

---

Schritt 4: Sicherheit, Monitoring und Best Practices

1. Sicherer Zugriff:
   • Bevorzugen Sie AWS SSO/federated Roles gegenüber langlebigen IAM-Anmeldedaten.
   • AWS IAM Best Practices
2. Netzwerksicherheit verbessern:
   • Erwägen Sie die Einrichtung von AWS PrivateLink, um eine sichere Verbindung zu Bedrock herzustellen.
3. Aktivitäten überwachen und protokollieren:
   • Aktivieren Sie AWS CloudTrail, um Bedrock API-Aufrufe zu protokollieren.
   • Verwenden Sie CloudWatch, um Metriken wie Aufrufanzahl, Latenz und Token-Nutzung zu überwachen.
   • Richten Sie Alarme für ungewöhnliche Aktivitäten ein.
4. Fehlerbehandlung und Kostenmanagement:
   • Implementieren Sie Exponential Backoff für Throttling-Fehler.
   • Nutzen Sie den AWS Cost Explorer und richten Sie Budget-Alarme ein, um die Nutzung zu verfolgen.
     AWS Cost Management
5. Regelmäßige Audits und Compliance:
   • Überprüfen Sie regelmäßig IAM Roles und CloudTrail-Logs.
   • Befolgen Sie interne Datenschutz- und Governance-Richtlinien.

---

Fazit

Durch Befolgen dieser Schritte kann Ihr Enterprise-Team AWS Bedrock sicher mit der Careti VS Code-Erweiterung integrieren, um die Entwicklung zu beschleunigen:

1. Bereiten Sie Ihre AWS-Umgebung vor: Erstellen oder nutzen Sie einen sicheren IAM User/eine IAM Role, hängen Sie die Policy AmazonBedrockLimitedAccess an und stellen Sie die erforderlichen Berechtigungen sicher.
2. Region und Modellzugriff überprüfen: Bestätigen Sie, dass die gewählte Region Ihre benötigten Modelle unterstützt, und abonnieren Sie diese bei Bedarf über den AWS Marketplace.
3. Careti in VS Code konfigurieren: Installieren und richten Sie Careti mit Ihren AWS-Anmeldedaten ein und wählen Sie ein passendes Modell.
4. Sicherheit und Monitoring implementieren: Nutzen Sie Best Practices für IAM, Netzwerksicherheit, Monitoring und Kostenmanagement.

Weitere Details finden Sie in der AWS Bedrock-Dokumentation. Stimmen Sie sich zudem mit Ihrem internen Cloud-Team ab. Viel Erfolg beim Coden!

---

Dieser Leitfaden wird aktualisiert, wenn sich AWS Bedrock und Careti weiterentwickeln. Beziehen Sie sich für aktuelle Praktiken immer auf die neueste Dokumentation und interne Richtlinien.