💼 Amazon Q Business

1. Amazon Q Business란?

기업 전용 생성형 AI 비서(Assistant)
회사 내부의 지식과 데이터를 기반으로 작동
주요 기능
사내 문서 기반 질의응답
요약, 콘텐츠 생성
반복 업무 자동화 (예: 휴가 신청, 회의 초대장 전송)
외부 시스템과 연동해 작업 수행
Amazon Bedrock 기반으로 동작하지만, 사용자가 FM(Foundation Model) 을 직접 선택할 수는 없음

👉 시험 포인트: Bedrock 위에서 돌아가지만, FM 선택 불가라는 점 기억하기.

2. 주요 구성 요소

🔹 데이터 커넥터 (Managed RAG)

40개 이상의 엔터프라이즈 데이터 소스 연결 가능
AWS 서비스: S3, RDS, Aurora, WorkDocs 등
외부 서비스: Microsoft 365, Google Drive, Gmail, Slack, Salesforce, SharePoint 등
→ 자동으로 문서를 색인(Index)하고 검색 가능

🔹 플러그인 (Plugins)

외부 애플리케이션과 상호작용 가능
예: Jira, ServiceNow, Zendesk, Salesforce
Custom Plugin을 통해 임의의 외부 API와도 연결 가능
예시: “새 Jira 이슈 생성해줘” → Q Business가 API 호출로 실제 티켓 생성

3. IAM Identity Center 통합

사용자 인증(Authentication)은 IAM Identity Center를 통해 수행
사용자는 본인에게 권한이 있는 문서만 접근 가능
외부 IdP(Identity Provider) 와 연동 가능
Google 로그인, Microsoft Active Directory 등

👉 시험 포인트: Q Business는 IAM Identity Center 기반 인증을 사용한다. (중요)

(추가설명) IAM 인증 (IAM Authentication)

주요 대상: 개발자, 관리자가 직접 AWS 리소스에 접근할 때\
방식:
- IAM User를 만들고, 각각 Access Key / Secret Key 또는
  콘솔 로그인 ID/Password를 사용\
- 사용자가 가진 IAM 정책(Policy)에 따라 API, CLI, 콘솔에서
  리소스에 접근 권한 부여\
특징:
- 계정 단위의 개별 사용자 관리 필요 → 사용자 많아지면 관리 복잡
- 장기적으로 Access Key 관리 부담 (교체, 폐기 등)
- 외부 ID 관리 시스템(AD, Okta 등)과 직접 연동 불가

👉 요약: AWS 내부에서만 쓰는 단일 사용자 기반 인증

(추가설명) IAM Identity Center 인증 (옛 SSO)

주요 대상: 기업 내 직원이나 조직 단위의 사용자 관리\
방식:
- IAM Identity Center는 AWS Organizations와 통합되어 여러
  계정에 접근할 수 있는 Single Sign-On(SSO) 제공
- AD, Okta, Azure AD 같은 외부 ID 제공자(IdP)와 연동 가능
- 사용자는 회사 계정(예: 사내 이메일/AD 계정)으로 로그인 →
  자동으로 AWS 계정 권한을 부여받음\
특징:
- 중앙 집중형 사용자 관리 가능
- 비밀번호, MFA 등 인증 방식은 IdP에서 관리
- 여러 AWS 계정/역할을 한 번 로그인으로 접근 가능
- 보안과 편의성이 높음

👉 요약: 조직 단위의 중앙 인증 및 접근 제어(SSO 기반)

(추가설명) 차이점 요약 표

구분 IAM 인증 IAM Identity Center 인증

사용자 단위 개별 IAM User 필요 사내 계정/IdP 사용자 기반
권한 관리 IAM Policy 직접 부여 그룹/역할(Role) 기반 자동 부여
연동 외부 IdP 불가 외부 IdP 연동 가능 (SAML, OIDC)
편의성 계정 많으면 관리 어려움 한 번 로그인으로 여러 계정 접근
사용 사례 개발자, 소규모 팀 기업, 조직 단위 운영

(추가설명) 시험/실무 포인트

AWS 시험(특히 Security Specialty나 Solutions Architect)에서는
- “개별 개발자/관리자 접근” → IAM User\
- “조직 전체, SSO, 중앙 관리” → IAM Identity Center\
  를 정답으로 구분하는 경우가 많습니다.
실무에서는 IAM User는 되도록 쓰지 않고, IAM Identity Center + Role 기반 접근으로 전환하는 게 베스트 프랙티스입니다.

👉 정리하면,\

IAM 인증은 AWS 내부에서 개별 사용자 관리에 적합\
IAM Identity Center 인증은 기업/조직 단위로 중앙 집중 관리, SSO
환경에 적합

4. 관리자(Admin) 제어

Guardrails 개념과 동일
주요 기능
특정 단어/주제 차단
내부 문서 기반 응답만 허용 (외부 LLM 지식 차단 가능)
전사(Global) 수준, 주제(Topic) 수준으로 세부 규칙 설정 가능

5. Amazon Q Apps

코딩 없이 자연어만으로 AI 앱 제작 가능
회사 내부 데이터 + 플러그인 활용
예: Jira 티켓 자동 생성, 사내 문서 검색 챗봇

6. 사용 예시

“4월 12일 주 팀 회의 요약해줘” → 사내 회의록 문서에서 답변
“건강보험 플랜 문서에서 자기부담금 한도를 알려줘” → PDF에서 직접 찾아 응답
“새로운 채용 공고 작성해줘” → 내부 정책 반영한 채용 글 생성

7. 시험 대비 핵심 포인트

Amazon Q Business는 기업 내부 지식 전용 AI 비서
FM 직접 선택 불가, Bedrock 위에서 동작
IAM Identity Center → 접근 권한 제어 핵심
Data Connector와 Plugin 구분 중요
Connector = 데이터 연결 (검색용, RAG)
Plugin = 작업 실행 (API 호출, 티켓 생성 등)
Admin Controls = Guardrails → 특정 단어/주제 차단 가능
최대 약 50개 데이터 소스 연결 가능
비용 관련 주의: Q Business Light / Pro 요금제 선택 필요 (시험에서는 잘 안 나오지만 실제 운영 시 중요)

👉 한 줄 요약
Amazon Q Business = 기업 전용 생성형 AI 비서.
데이터 커넥터(RAG), 플러그인(API 작업), IAM Identity Center 인증, Guardrails(관리자 제어)가 시험에 자주 출제되는 핵심 포인트다.