AI 11탄-77.AWS에서의 안전한 생성형 AI구축
<1> 생성형 AI?
<2> 디자인 패턴 4가지?
<3> 아마존 베드락에서 보안
<4> 아마존 세이즈 메이커에서 보안
<5> 주요 내용 및 모범 사례
<1> 생성형 AI?
파운데이션 모델을 기반으로 한다.
사전 학습된 내용이다.
챗봇, 이미지, 코딩, 정보 요약등에 사용된다.
<2> 디자인 패턴 4가지?
1
프롬프트 엔지니어링 패턴?
정제된 응답을 받기 위해 조금 더 프롬프트 정보를 제공하는 것이다.
2
검색 증강 생성 패턴?
프롬프트는 별도 데이터 세트가 없다.
검색 증강 생성은 별도 데이터 세트가 있다.
도메인에 특화된 데이터 셋을 임베딩해서 벡터 데이터 베이스에 저장하여, 질문 시 증강된 질문으로 한다.
3
파인튜닝 패턴?
4
파운데이션 모델 구축 패턴?
처음부터 데이터로 구축하는 것이다.
고 비용, 목적에 맞는 결과는 얻는다.
5
정리?
프롬프트 엔지니어링, RAG , 파인 튜닝, FM 구축에 관한 비용, 훈련기간 비교
<3> 아마존 베드락에서 보안
1
데이터 보안?
베드락에서 사용된 데이터는 고객의 것이다.
재 사용 되지 않는다.
고객이 선택한 리전에 국한된다. 리전이 저장이 중요하다. 해당 리전에 저장된다.
2
아마존 베드락 데이터 보안?
전송 간 TLS 1.2 이상으로 전송 암호화.
AES-256으로 저장 시 암호화.
접근권한은 AWS IAM과 통합해 사용한다.
3
3가지 계정으로 구성된다
아마존 서비스 계정
배포 계정
고객 계정
모든 입력과 출력은 API를 사용한다.
4
고객 AWS 계정과 AWS 소유 계정이 있다.
IAM을 통한 접근 제어
5
IAM을 통한 접근 제어를 한다!!!!
API를 기반으로 사용하므로 IAM으로 접근 제어
어떤 사용자는 어떤 모델을 사용 가능한지 접근 차단이 가능하다.
특정 사용자나 계정에 특정 추론을 못하게 할 수 있다.
아래 내용은 기본 Deny 정책으로 한다.
특정 사용자나 그룹은 아래 지정된 모델에 대해 추론을 할 수 없다.
교차 계정에 대해서도 지원한다. 하나의 계정에서 권한을 제공하고 크로스 어카운트로 사용 가능. 오슘.
6
API 호출 영역
베드락 API 호출은?
컨트롤 플래인과 데이터 플레인으로 나누어진다.
VPC Endpoint로 사용 제한- VPC Endpoint Policy (디폴트는 모두 호출가능, 정교하게 정책구현하라)
7
베드락 이용 시, 훈련 데이터에 대한 접근 제한은?
보안 그룹으로 접근 제어 하라.
8
베드락 이용 시, S3/KMS 정책?
정책을 통해 접근 제어가 가능하다.
S3 접근 정책으로 제어가 가능하다.
KMS에서 이용하는 고객 관리용 KMS키 레벨의 접근 제어가 가능하다. 좀 더 고도화된 권한제어 가능하다.
9
책임 있는 AI 만들기 !!!
가드레일 for 아마존 베드락 서비스!!!
베드락용 에이전트에 가드레일 적용한다.
10
가드레일 동작 방식 ?
<4> 아마존 세이즈 메이커에서 보안
세이즈 메이커 기반으로 개발시
1
기본적으로 게이트웨이를 사용하는데 보안상 , VPC Endpoint를 사용하라.
2
IAM 권한으로 제한 가능하다.
도메인 > 쉐어드 스페이스 실행 역할 , 사용자 역할을 제어한다.
3
시큐리티 그룹을 통한 네트워크 통제
인증 프록시 서버 , 노트북 인스턴스 접근시 사용
각각 ENI에 보안 그룹을 적용할수 있다.
4
KMS를 통한 암호화 가능하다.
저장 서비스에 사용한다.
EFS
노트북 어카운트 EBS
파인튜닝시 S3를 사용한다.
각각의 영역에 대해 암호화 가능하다.
KMS 에서 제공하는 고객 관리형 키를 사용을 권고 한다!!!
<5> 주요 내용 및 모범 사례
다음
https://brunch.co.kr/@topasvga/4127
