【質問】GenUでプライベート利用できるようにしたい

[penpen292]

[機能リクエストは何か問題に関連していますか？背景を説明してください
GenUをプライベート利用したいと考えている。

追加 or 改善したい機能について
GenUをプライベート利用したいときのdeploy機能の追加

質問
現在のGenUは、プライベート利用することは可能でしょうか？
また、cdkでdeployした後プライベート様に機能変更したいときどのような設定変更が考えられますでしょうか？

[kazuhitogo]

GenUをプライベート利用したいと考えている。

こちらの意図をもう少し深く教えていただけますでしょうか。
プライベート利用と申しますと、AWS の個人アカウントでデプロイし、利用することを指していますでしょうか。
AWS アカウント自体は個人でも取得できますので、プライベート利用すること自体は可能だと思うのですが、具体的な不足機能がありますでしょうか。
もしユーザーを一人にして使いたい、という話であれば、
https://github.com/aws-samples/generative-ai-use-cases-jp/blob/main/docs/DEPLOY_OPTION.md#%E3%82%BB%E3%83%AB%E3%83%95%E3%82%B5%E3%82%A4%E3%83%B3%E3%82%A2%E3%83%83%E3%83%97%E3%82%92%E7%84%A1%E5%8A%B9%E5%8C%96%E3%81%99%E3%82%8B
のドキュメントを参考に、セルフサインアップを無効化していただければ、AWS アカウント所持者以外使えなくできるかと思います。

[penpen292]

意図について説明させていただきます。

プライベート利用というのは、CloudFrontなどパブリック公開されているサービスを利用せず
VPN接続など、プライベートな接続（閉域網）で利用出来ないかといことを指しています。

[kazuhitogo]

ありがとうございます。閉域ですね。勘違いして申し訳ございません。
現状対応予定はないのですが、改造は技術的には可能です。
しかし、過去にやった人いわくかなりの大工事になったそうです。
ざっくり、
（前提としてVPCを作成の上）

• CloudFront を削除し、静的ファイル配信をVPC経由のS3アクセス
• API Gateway/Lambda を VPC 内に配置
• Lambda Response Streaming を廃止して同期処理にしつつ API Gateway 内に配置
• Bedrock, DynamoDBを VPC Endpoint アクセス
  あたりです。
  ただし、それでも Cognito 認証だけはインターネットが残ってしまう、、、という感じです。
  もし大改造を希望かつ、困っている、という話であれば、弊社のSales経由でSAに問い合わせいただけると幸いです。
  https://aws.amazon.com/jp/contact-us/

[jthieffry]

@kazuhitogo お返事ありがとうございます。
私のチームもこの問題に関心を持っています。

Lambda Response Streaming を廃止して同期処理にしつつ API Gateway 内に配置

これについてもう少し詳しく説明していただけますか？

[kazuhitogo]

Lambda Response Streaming 閉域に置くことができません。
なので、ConverseStreamCommand を使用しているところをすべて ConverseCommand に書き換えた上、API Gateway を介してアクセスするようにし、Lambda 自体を VPC にいれる必要があります。