💼 Amazon Q Business

1. Amazon Q Business란?

기업 전용 생성형 AI 비서(Assistant)
회사 내부의 지식과 데이터를 기반으로 작동
주요 기능
- 사내 문서 기반 질의응답
- 요약, 콘텐츠 생성
- 반복 업무 자동화 (예: 휴가 신청, 회의 초대장 전송)
- 외부 시스템과 연동해 작업 수행
Amazon Bedrock 기반으로 동작하지만, 사용자가 FM(Foundation Model) 을 직접 선택할 수는 없음

👉 시험 포인트: Bedrock 위에서 돌아가지만, FM 선택 불가라는 점 기억하기.

2. 주요 구성 요소

🔹 데이터 커넥터 (Managed RAG)

40개 이상의 엔터프라이즈 데이터 소스 연결 가능
AWS 서비스: S3, RDS, Aurora, WorkDocs 등
외부 서비스: Microsoft 365, Google Drive, Gmail, Slack, Salesforce, SharePoint 등
→ 자동으로 문서를 색인(Index)하고 검색 가능

🔹 플러그인 (Plugins)

외부 애플리케이션과 상호작용 가능
예: Jira, ServiceNow, Zendesk, Salesforce
Custom Plugin을 통해 임의의 외부 API와도 연결 가능
예시: “새 Jira 이슈 생성해줘” → Q Business가 API 호출로 실제 티켓 생성

3. IAM Identity Center 통합

사용자 인증(Authentication)은 IAM Identity Center를 통해 수행
사용자는 본인에게 권한이 있는 문서만 접근 가능
외부 IdP(Identity Provider) 와 연동 가능
- Google 로그인, Microsoft Active Directory 등

👉 시험 포인트: Q Business는 IAM Identity Center 기반 인증을 사용한다. (중요)

(추가설명) IAM 인증 (IAM Authentication)

주요 대상: 개발자, 관리자가 직접 AWS 리소스에 접근할 때\
방식:
- IAM User를 만들고, 각각 Access Key / Secret Key 또는
  콘솔 로그인 ID/Password를 사용\
- 사용자가 가진 **IAM 정책(Policy)**에 따라 API, CLI, 콘솔에서
  리소스에 접근 권한 부여\
특징:
- 계정 단위의 개별 사용자 관리 필요 → 사용자 많아지면 관리 복잡
- 장기적으로 Access Key 관리 부담 (교체, 폐기 등)
- 외부 ID 관리 시스템(AD, Okta 등)과 직접 연동 불가

👉 요약: AWS 내부에서만 쓰는 단일 사용자 기반 인증

(추가설명) IAM Identity Center 인증 (옛 SSO)

주요 대상: 기업 내 직원이나 조직 단위의 사용자 관리\
방식:
- IAM Identity Center는 AWS Organizations와 통합되어 여러
  계정에 접근할 수 있는 Single Sign-On(SSO) 제공
- AD, Okta, Azure AD 같은 **외부 ID 제공자(IdP)**와 연동 가능
- 사용자는 회사 계정(예: 사내 이메일/AD 계정)으로 로그인 →
  자동으로 AWS 계정 권한을 부여받음\
특징:
- 중앙 집중형 사용자 관리 가능
- 비밀번호, MFA 등 인증 방식은 IdP에서 관리
- 여러 AWS 계정/역할을 한 번 로그인으로 접근 가능
- 보안과 편의성이 높음

👉 요약: 조직 단위의 중앙 인증 및 접근 제어(SSO 기반)

(추가설명) 차이점 요약 표

구분 IAM 인증 IAM Identity Center 인증

사용자 단위 개별 IAM User 필요 사내 계정/IdP 사용자 기반
권한 관리 IAM Policy 직접 부여 그룹/역할(Role) 기반 자동 부여
연동 외부 IdP 불가 외부 IdP 연동 가능 (SAML, OIDC)
편의성 계정 많으면 관리 어려움 한 번 로그인으로 여러 계정 접근
사용 사례 개발자, 소규모 팀 기업, 조직 단위 운영

(추가설명) 시험/실무 포인트

AWS 시험(특히 Security Specialty나 Solutions
Architect)에서는
- “개별 개발자/관리자 접근” → IAM User\
- “조직 전체, SSO, 중앙 관리” → IAM Identity Center
  를 정답으로 구분하는 경우가 많습니다.
실무에서는 IAM User는 되도록 쓰지 않고, IAM Identity Center +
Role 기반 접근으로 전환하는 게 베스트 프랙티스입니다.

👉 정리하면,\

IAM 인증은 AWS 내부에서 개별 사용자 관리에 적합\
IAM Identity Center 인증은 기업/조직 단위로 중앙 집중 관리, SSO
환경에 적합

4. 관리자(Admin) 제어

Guardrails 개념과 동일
주요 기능
- 특정 단어/주제 차단
- 내부 문서 기반 응답만 허용 (외부 LLM 지식 차단 가능)
- 전사(Global) 수준, 주제(Topic) 수준으로 세부 규칙 설정 가능

5. Amazon Q Apps

코딩 없이 자연어만으로 AI 앱 제작 가능
회사 내부 데이터 + 플러그인 활용
예: Jira 티켓 자동 생성, 사내 문서 검색 챗봇

6. 사용 예시

“4월 12일 주 팀 회의 요약해줘” → 사내 회의록 문서에서 답변
“건강보험 플랜 문서에서 자기부담금 한도를 알려줘” → PDF에서 직접 찾아 응답
“새로운 채용 공고 작성해줘” → 내부 정책 반영한 채용 글 생성

7. 시험 대비 핵심 포인트

Amazon Q Business는 기업 내부 지식 전용 AI 비서
FM 직접 선택 불가, Bedrock 위에서 동작
IAM Identity Center → 접근 권한 제어 핵심
Data Connector와 Plugin 구분 중요
- Connector = 데이터 연결 (검색용, RAG)
- Plugin = 작업 실행 (API 호출, 티켓 생성 등)
Admin Controls = Guardrails → 특정 단어/주제 차단 가능
최대 약 50개 데이터 소스 연결 가능
비용 관련 주의: Q Business Light / Pro 요금제 선택 필요 (시험에서는 잘 안 나오지만 실제 운영 시 중요)

👉 한 줄 요약
Amazon Q Business = 기업 전용 생성형 AI 비서.
**데이터 커넥터(RAG), 플러그인(API 작업), IAM Identity Center 인증, Guardrails(관리자 제어)**가 시험에 자주 출제되는 핵심 포인트다.

📌 Amazon Q Business – 시험 대비 요약표

구분	설명	시험 포인트
서비스 개념	기업 내부 데이터 기반 Gen-AI 비서	Bedrock 기반, FM 직접 선택 불가
주요 기능	질의응답, 요약, 콘텐츠 생성, 업무 자동화, 회의/휴가 처리	단순 QA → 실제 업무 실행까지 가능
Data Connectors	40개+ 데이터 소스 연결 (S3, RDS, Aurora, WorkDocs, M365, GDrive, Salesforce, Slack, SharePoint 등)	RAG(검색 기반 응답) 기능 담당
Plugins	외부 애플리케이션과 상호작용 (Jira, ServiceNow, Zendesk, Salesforce 등)	실제 작업 실행 (티켓 생성, API 호출)
Custom Plugin	임의 API와 연동 가능	시험에서 “3rd Party App과 연결” → Custom Plugin
IAM Identity Center	사용자 인증/권한 관리 담당	사용자 = 본인 문서만 접근 가능
외부 IdP 연동	Google Login, Microsoft AD 등	AWS 외부 인증 시스템도 활용 가능
Admin Controls (Guardrails)	응답 제어(단어/주제 차단, 내부 데이터만 사용 등)	Guardrails와 동일 개념, Global/Topic Level 제어 가능
Amazon Q Apps	자연어로 AI 앱 제작 (코드 불필요)	내부 데이터 활용 + Plugin 조합
데이터 소스 제한	최대 약 50개 데이터 소스 연결 가능	시험에 나올 수 있음
보안	IAM 기반 접근 제어 + Guardrails	시험에서 “보안/권한” → IAM + Guardrails 답
비용 관련	Light/Pro 플랜 선택 필요 (Demo용 Anonymous Access = 비용 ↑)	시험보다는 실제 운영 주의사항

✅ 시험에서 자주 나올 질문 패턴

Q1. Amazon Q Business와 Bedrock 차이?
→ Bedrock = 모델 직접 활용 가능 / Q Business = 기업 내부 데이터 기반 AI 비서 (FM 선택 불가)
Q2. Data Connectors vs Plugins?
→ Connector = 데이터 검색용 (RAG), Plugin = 외부 앱 작업 실행
Q3. Amazon Q Business 보안/권한 제어 방식?
→ IAM Identity Center + Guardrails
Q4. Amazon Q Apps 기능?
→ 코딩 없이 기업 맞춤 AI 앱 생성 (내부 데이터 + Plugin 활용)

👉 정리하면, Amazon Q Business는

기업 내부 전용 AI 비서이고,
RAG + Plugin + IAM + Guardrails 개념이 시험 핵심 포인트입니다.