Tác giả: Chintamani Aphale, Ishwar Chauthaiwale, và Urbija Goswami
Ngày phát hành: 20 JAN 2026
Chuyên mục: Amazon Bedrock, Generative AI, Technical How-to

Khi các tổ chức mở rộng việc sử dụng Amazon Web Services (AWS), việc quản lý hạ tầng đám mây thông qua Infrastructure as Code (IaC) trở nên thiết yếu để đảm bảo tính nhất quán, tự động hóa và tốc độ. Tuy nhiên, việc đảm bảo các mẫu IaC tuân thủ nghiêm ngặt chính sách kiểm soát dịch vụ (SCP) của tổ chức vẫn là một thách thức lớn, đặc biệt trong các môi trường có cấu trúc tài khoản phức tạp và yêu cầu quản trị thay đổi liên tục.

Việc xác thực thủ công các mẫu IaC so với SCP tốn thời gian và dễ xảy ra lỗi. Các nhà phát triển có thể vô tình cố gắng triển khai tài nguyên hoặc sử dụng các dịch vụ bị hạn chế bởi SCP, dẫn đến lỗi triển khai, tăng thời gian khắc phục sự cố và rủi ro tuân thủ. Các nhóm bảo mật và hệ thống sau đó phải chịu gánh nặng với việc xem xét và khắc phục sau triển khai, điều này làm chậm đổi mới và tăng chi phí vận hành.

Trong bài viết này, chúng tôi khám phá cách bạn có thể sử dụng AI tạo sinh để tự động hóa và nâng cao việc tạo IaC tuân thủ SCP. Để làm được điều này, chúng tôi đã sử dụng Amazon Bedrock, các hàm AWS Lambda và mô hình nền tảng trong giải pháp của mình. Bằng cách kết hợp các công nghệ này, bạn có thể thiết lập một quy trình làm việc chủ động để đảm bảo IaC được tạo ra theo yêu cầu của chính sách tổ chức trước khi triển khai. Bài viết này trình bày cách tiếp cận dựa trên AI tạo sinh này có thể giúp bạn tạo IaC tuân thủ SCP tiêu chuẩn của tổ chức.

Hiểu các yêu cầu tuân thủ SCP

Các SCP của AWS giúp bạn thực thi các kiểm soát bảo mật, truy cập và chi phí trên các tài khoản AWS trong môi trường của bạn. Khi các nhóm ngày càng dựa vào IaC để tự động hóa việc triển khai hạ tầng đám mây, việc đảm bảo mã này phù hợp với SCP đã trở nên thiết yếu. Tuy nhiên, việc xác thực thủ công các mẫu IaC tốn thời gian và thường xảy ra quá muộn, làm tăng rủi ro triển khai không tuân thủ và phải làm lại.

Giải pháp của chúng tôi tích hợp nhận thức về SCP trực tiếp vào quy trình tạo IaC bằng cách sử dụng Amazon Bedrock và AI tạo sinh. Bằng cách xác thực các yêu cầu hạ tầng so với các chính sách của tổ chức ngay từ đầu, cách tiếp cận này giúp các nhà phát triển tạo ra các mẫu IaC tuân thủ, tiết kiệm thời gian, giảm rủi ro và duy trì quản trị ở quy mô lớn.

Tổng quan giải pháp

Giải pháp này cho phép tự động tạo IaC tuân thủ SCP bằng cách sử dụng khả năng AI tạo sinh thông qua Amazon Bedrock. Nó sử dụng mô hình nền tảng để tạo IaC tuân thủ các chính sách và yêu cầu tuân thủ của tổ chức, hợp lý hóa quy trình phát triển đồng thời giúp đảm bảo các tiêu chuẩn quản trị được duy trì.

Kiến trúc được thiết kế với phương pháp bảo mật theo thiết kế. Để giúp đảm bảo rằng chỉ các nhà phát triển được ủy quyền mới có thể tạo mã, hệ thống được bảo vệ bởi Amazon Cognito để quản lý danh tính và AWS WAF để bảo vệ các điểm cuối API khỏi lưu lượng truy cập độc hại và các cuộc tấn công từ chối dịch vụ phân tán (DDoS).

Quy trình làm việc bắt đầu bằng việc người dùng xác thực thông qua Amazon Cognito. Sau khi được ủy quyền, người dùng gửi các yêu cầu hạ tầng bằng cách sử dụng các lời nhắc ngôn ngữ tự nhiên tới Amazon API Gateway. Các yêu cầu được xác thực bởi bộ ủy quyền Amazon Cognito và được lọc bởi AWS WAF trước khi được chuyển đến một hàm Lambda.

Hàm Lambda đọc ngữ cảnh từ một cơ sở tri thức Amazon Simple Storage Service (Amazon S3) động, được tự động đồng bộ hóa theo thời gian thực với vòng đời SCP của tổ chức bạn (bao gồm việc tạo và xóa chính sách). Sau đó, nó làm phong phú lời nhắc của người dùng với ngữ cảnh quản trị này và gửi đến mô hình nền tảng Amazon Bedrock. Ngoài ra, giải pháp còn triển khai Amazon Bedrock Guardrails để giúp đảm bảo rằng đầu ra được tạo tuân thủ các tiêu chuẩn AI có trách nhiệm như chặn dữ liệu nhạy cảm như thông tin nhận dạng cá nhân (PII) và tạo điều kiện cho sự liên quan của chủ đề.

Mô hình nền tảng Amazon Bedrock hiểu và xử lý các yêu cầu của người dùng trong khi duy trì ngữ cảnh về các chính sách và nhu cầu tuân thủ của tổ chức, trả về mẫu IaC tuân thủ cho người dùng thông qua API Gateway.

Bằng cách triển khai kiến trúc này, bạn có thể giúp đảm bảo rằng mã hạ tầng được tạo ra tuân thủ các SCP của tổ chức, các yêu cầu bảo mật và quản trị được đáp ứng một cách chủ động, các nhóm phát triển nhận được phản hồi ngay lập tức về việc tuân thủ chính sách và việc triển khai hạ tầng tuân thủ các tiêu chuẩn của tổ chức.

Điều kiện tiên quyết

Để triển khai giải pháp này, bạn cần có các điều kiện tiên quyết sau:

• AWS Organizations đã bật SCP
• Truy cập mô hình cho Amazon Nova Lite
• Terraform CLI đã được cài đặt (v1.11 trở lên)
• Hai S3 bucket cho cơ sở tri thức SCP và các gói triển khai Lambda tương ứng
• Một Amazon Virtual Private Cloud (Amazon VPC) với một subnet riêng tư và bảng định tuyến liên quan
• Một khóa AWS Key Management Service (AWS KMS) để mã hóa

Triển khai giải pháp

Sử dụng các bước sau để triển khai giải pháp bằng một ứng dụng mẫu.

1. Clone repository.

git clone https://github.com/aws-samples/sample-for-ai-generated-iac-code-according-to-scp.git

2. Điều hướng đến thư mục cơ sở dữ liệu dự án.

cd sample-for-ai-generated-iac-code-according-to-scp

3. Khởi tạo Terraform.

terraform init

4. Chạy lệnh Terraform plan để xem danh sách các tài nguyên mà giải pháp này sẽ tạo.

terraform plan

5. Chạy lệnh Terraform apply. Cờ --auto-approve là tùy chọn. Nếu bạn không sử dụng nó, bạn sẽ được nhắc nhập xác nhận thủ công.

terraform apply --auto-approve

Quy trình làm việc của giải pháp

Giải pháp này, được thể hiện trong sơ đồ sau, tự động hóa việc tạo IaC tuân thủ SCP bằng cách sử dụng các dịch vụ AWS và các mô hình nền tảng Amazon Bedrock. Giải pháp tích hợp liền mạch việc thu thập chính sách, tạo ngữ cảnh và tạo mã dựa trên AI để giúp đảm bảo rằng việc triển khai hạ tầng phù hợp với các yêu cầu của tổ chức.

1. Tạo SCP: Các tổ chức tạo SCP dựa trên các yêu cầu bảo mật và tuân thủ. Các công cụ quản trị nền tảng này được triển khai ở cấp độ Organizations để giúp thực thi các tiêu chuẩn trên toàn bộ môi trường doanh nghiệp.
2. Ghi nhật ký sự kiện CloudTrail: Khi SCP được tạo hoặc sửa đổi, AWS CloudTrail tự động ghi lại những thay đổi này trong nhật ký sự kiện chi tiết, có thể xem trong AWS Management Console cho CloudTrail, như thể hiện trong ảnh chụp màn hình sau. Các nhật ký này đóng vai trò là một bản ghi toàn diện, chứa cả nội dung chính sách và siêu dữ liệu thiết yếu sẽ được sử dụng để tạo ngữ cảnh sau này trong quy trình làm việc.

3. Lọc EventBridge: Các quy tắc Amazon EventBridge tùy chỉnh sẽ chủ động giám sát và ghi lại các sự kiện CloudTrail liên quan cụ thể đến các thay đổi SCP. Các quy tắc này tạo điều kiện lọc và định tuyến chính xác các sửa đổi chính sách liên quan đến hàm Lambda trích xuất, duy trì luồng thông tin hiệu quả.
4. Trích xuất Lambda: Hàm Lambda trích xuất xử lý các sự kiện đến để cô lập và trích xuất nội dung và yêu cầu chính sách quan trọng. Thông tin đã xử lý này sau đó được lưu trữ trong Amazon S3, thiết lập một nguồn dữ liệu đáng tin cậy và dễ truy cập để tạo ngữ cảnh. Nó có thể được truy cập bằng bảng điều khiển Amazon CloudWatch, như thể hiện trong ảnh chụp màn hình sau.

5. Yêu cầu của nhà phát triển: Các nhà phát triển giao tiếp với hệ thống thông qua các lời nhắc ngôn ngữ tự nhiên, chỉ định các yêu cầu hạ tầng của họ. Các yêu cầu trực quan này mô tả chi tiết các tài nguyên và cấu hình AWS mong muốn, khởi tạo quá trình tạo mã thông minh.
6. Xử lý yêu cầu: API Gateway đóng vai trò là điểm vào chính cho các tương tác của nhà phát triển, nhận và định tuyến các yêu cầu một cách thích hợp. Mỗi yêu cầu được chuyển tiếp đến hàm Lambda tạo ngữ cảnh, tạo điều kiện xử lý yêu cầu nhất quán.

7. Tạo ngữ cảnh: Hàm Lambda tạo ngữ cảnh phân tích các yêu cầu đến so với cơ sở dữ liệu SCP đã lưu trữ một cách chính xác. Bằng cách kết hợp các yêu cầu của người dùng với các ràng buộc chính sách, nó tạo ra một ngữ cảnh nâng cao giúp tạo điều kiện tuân thủ ngay từ giai đoạn thiết kế ban đầu.
8. Phân tích nguồn dữ liệu: Thông qua việc tìm kiếm có phương pháp trong nguồn dữ liệu Amazon S3, hàm Lambda xác định và trích xuất thông tin chính sách liên quan. Phân tích toàn diện này giúp đảm bảo rằng các ràng buộc và yêu cầu áp dụng cho loại tài nguyên được yêu cầu được xem xét đúng cách.
9. Xử lý mô hình nền tảng: Yêu cầu nâng cao, được làm phong phú với ngữ cảnh và ràng buộc thích hợp, được truyền đến mô hình nền tảng Amazon Bedrock. Yêu cầu được tạo ra cẩn thận này giúp đảm bảo rằng mô hình có thông tin đầy đủ về cả yêu cầu kỹ thuật và ràng buộc chính sách.
10. Tạo phản hồi AI: Mô hình nền tảng xử lý ngữ cảnh nâng cao để tạo IaC tuân thủ. Quá trình tạo thông minh này kết hợp các yêu cầu đã chỉ định đồng thời tạo điều kiện tuân thủ các chính sách của tổ chức.
11. Phân phối phản hồi: Hàm Lambda tạo ngữ cảnh thực hiện xác thực và định dạng cuối cùng cho mã được tạo. IaC tuân thủ kết quả sau đó được trả về an toàn cho nhà phát triển thông qua API Gateway.
12. Trình bày đầu ra: Hệ thống cung cấp đầu ra rõ ràng, có thể hành động cho các nhà phát triển, bao gồm cả mã hạ tầng tuân thủ và giải thích chi tiết, như thể hiện trong ảnh chụp màn hình sau. Gói đầu ra toàn diện này giúp đảm bảo rằng các nhà phát triển hiểu các cấu hình và yêu cầu theo chính sách.

13. Triển khai tài nguyên: Các nhà phát triển có thể tự tin triển khai IaC đã tạo trong môi trường AWS của họ. Bước cuối cùng này dẫn đến việc tạo ra các tài nguyên tuân thủ phù hợp với SCP và yêu cầu quản trị của tổ chức.

Quy trình làm việc từ đầu đến cuối này minh họa cách bạn có thể sử dụng khả năng AI để hợp lý hóa quy trình triển khai hạ tầng của mình trong khi vẫn duy trì sự tuân thủ nghiêm ngặt với các SCP của tổ chức. Cách tiếp cận tự động này đẩy nhanh quá trình phát triển và tạo điều kiện áp dụng nhất quán các tiêu chuẩn bảo mật và quản trị trên các triển khai hạ tầng.

Dọn dẹp

Sử dụng các bước sau để dọn dẹp hạ tầng đã tạo cho giải pháp này. Giải pháp có thể được xây dựng, cập nhật hoặc sửa đổi bằng nhiều công cụ hoặc quy trình DevOps khác nhau. Để dọn dẹp hạ tầng:

1. Xóa sạch S3 bucket nguồn dữ liệu.
2. Điều hướng vào thư mục gốc của dự án.

cd sample-for-ai-generated-iac-code-according-to-scp

3. Cờ --auto-approve là tùy chọn. Nếu bạn không sử dụng nó, bạn sẽ được nhắc nhập xác nhận thủ công.

terraform destroy --auto-approve

Kết luận

Sử dụng giải pháp AI tạo sinh này cung cấp một cách thực tế để đơn giản hóa và đẩy nhanh quá trình phát triển IaC trong khi vẫn tuân thủ SCP. Bằng cách sử dụng xác thực chính sách tự động và tạo các mẫu tuân thủ ngay từ đầu, cách tiếp cận này giúp giảm nỗ lực thủ công, tăng tốc triển khai và giảm thiểu rủi ro. Khi các chính sách của tổ chức và dịch vụ đám mây tiếp tục phát triển, kiến trúc linh hoạt này có thể mang lại cho các nhóm một lộ trình sẵn sàng cho tương lai để duy trì quản trị mạnh mẽ mà không làm chậm đổi mới.

Tài nguyên bổ sung

Để tìm hiểu thêm về các dịch vụ cơ bản và các phương pháp hay nhất, hãy xem các tài nguyên sau:

• Tài liệu Amazon Bedrock – Tìm hiểu cách xây dựng các ứng dụng AI tạo sinh bằng cách sử dụng các mô hình nền tảng với các kiểm soát bảo mật và quản trị tích hợp.
• AWS Organizations và SCP – Hiểu cách SCP giúp thực thi các rào cản bảo mật và tuân thủ trên các tài khoản AWS.
• Các phương pháp hay nhất về IaC – Hướng dẫn về thiết kế hạ tầng có thể mở rộng, lặp lại và an toàn bằng cách sử dụng các công cụ như Terraform.
• Trụ cột Bảo mật của AWS Well-Architected Framework – Các phương pháp hay nhất để triển khai các kiểm soát phòng ngừa và quản trị ở quy mô lớn.
• AI có trách nhiệm và guardrails trong Amazon Bedrock – Tìm hiểu cách áp dụng lọc nội dung, hạn chế chủ đề và bảo vệ dữ liệu khi xây dựng các quy trình làm việc dựa trên AI tạo sinh.

Về tác giả

Chintamani Aphale là một tư vấn viên triển khai trong luồng công việc AI/ML với kinh nghiệm trong các lĩnh vực như phân tích, hạ tầng, phát triển và hiệu suất. Anh tập trung vào việc tự động hóa các kịch bản phức tạp bằng khả năng AI và phân tích với bảo mật nâng cao và giúp khách hàng đạt được các mục tiêu AI/ML của họ. Ngoài công việc, anh thích chơi cờ vua và bóng đá, và dành thời gian làm vườn.

Ishwar Chauthaiwale là Tư vấn viên trưởng – DevOps tại Amazon Web Services với hơn 9 năm kinh nghiệm kiến trúc và vận hành các nền tảng đám mây quy mô lớn, bảo mật. Anh chuyên về DevOps, Kubernetes, tự động hóa nâng cao, và kiến trúc AI tạo sinh và AI tác nhân cấp doanh nghiệp trên AWS. Ishwar làm việc chặt chẽ với khách hàng để hiện đại hóa các môi trường phức tạp, thiết kế các nền tảng đám mây và AI linh hoạt, có khả năng mở rộng, và triển khai các giải pháp sẵn sàng sản xuất nhằm đẩy nhanh việc áp dụng đám mây và thúc đẩy sự xuất sắc trong vận hành bền vững.

Urbija Goswami là Tư vấn viên triển khai cấp cộng tác tại Amazon Web Services với hơn 1.5 năm kinh nghiệm. Cô chuyên về DevOps và chuyên môn kỹ thuật của cô bao gồm điều phối Kubernetes, triển khai CI/CD, Infrastructure as Code (IaC), container hóa và các giải pháp tự động hóa nâng cao. Khi không làm việc, cô thích chăm sóc cây cối, đọc sách và thử sức với viết lách.