基于 Amazon Bedrock 与浏览器自动化的合规证据收集系统实战指南

摘要

合规审计往往需要数百张来自不同系统的截图，传统的手工操作既耗时又易出错，且难以在不同审计周期保持一致。本文展示了如何结合 Amazon Bedrock 大语言模型与浏览器自动化，构建一套能够自动执行证据收集、工作流设计和报告生成的完整解决方案。

系统概览

• 核心组件：Chrome/Firefox 浏览器扩展、Amazon Nova 2 Lite（通过 Bedrock 调用）、两段 AWS Lambda、Amazon Cognito、S3、SES。
• 主要功能：
  1. 证据收集器：按照预定义工作流自动浏览 Web 控制台，实时截取带时间戳的截图。
  2. AI 工作流设计器：利用 Nova 2 Lite 解析自然语言描述，生成或修改工作流脚本。
  3. 报告生成器：汇总截图与元数据，生成 PDF/HTML 报告并通过 SES 邮件发送。
• 安全与合规：所有截图在写入 S3 前使用 AWS KMS 加密，访问权限通过 Cognito + STS + IAM 最小化，审计日志记录在 CloudTrail 中。

架构与实现细节

1. 浏览器扩展
   • 使用 WebExtension API 实现跨浏览器兼容。
   • 与后台 Lambda 通过签名的 API Gateway 交互，获取工作流指令并上报执行结果。
2. AI 工作流生成
   • Prompt 示例："根据以下合规要求，生成在 AWS IAM 控制台检查用户权限的步骤。"
   • Nova 2 Lite 返回 JSON 格式的步骤列表，扩展程序解析后转化为 Selenium‑like 脚本。
3. Lambda 函数
   • init‑setup：部署时将系统提示文件上传至 S3，供 Bedrock 调用。
   • cleanup：审计结束后清理临时对象，防止泄漏。
4. 身份认证
   • 用户登录后 Cognito 发放短期凭证，Lambda 通过 STS 扮演角色，仅授予对指定 S3 前缀的 PutObject 权限。
5. 报告与通知
   • 完成后 Lambda 读取 S3 中的截图元数据，使用 AWS SDK 生成报告并通过 SES 发送。

部署步骤

1. 准备 AWS 环境：确保账户已开通 Bedrock、S3、SES、Cognito、Lambda 权限。
2. 克隆代码仓库：git clone https://github.com/aws-samples/compliance‑evidence‑collector。
3. 部署 CloudFormation：使用提供的 template.yaml，填写报告接收邮箱、临时密码邮箱等参数。
4. 浏览器扩展安装：
   • Chrome：打开 chrome://extensions/ → 开发者模式 → 加载已解压的扩展文件夹。
   • Firefox：打开 about:debugging → “此 Firefox” → 加载临时附加组件。
5. 运行示例：在扩展 UI 中选择“证据收集器”，挑选预置的 “AWS IAM 权限检查” 工作流，点击“开始”。系统将自动登录 IAM 控制台、逐步操作并保存截图。

实际演示

演示中，扩展程序成功完成以下动作：

• 自动打开 AWS IAM 控制台并切换到 “用户” 页面。
• 逐一点击每个用户，展开权限列表，截取包含时间戳的页面截图。
• 将截图按 s3://<bucket>/evidence/<date>/<workflow>/ 结构保存。
• Lambda 汇总后生成 PDF 报告，邮件发送至 audit@example.com。

作者简介

本文作者来自 AWS 企业支持团队，长期帮助客户在云上实现安全合规自动化。业余时间热爱绘画、板球和旅行。

---

本文提供的代码、模板和 Prompt 均可在 GitHub 公共仓库中获取，欢迎社区贡献改进。