Configuración de un destino de Amazon S3 Configura un destino de registros CloudWatch Modele el registro de invocaciones mediante la consola Modele el registro de invocaciones mediante el API

Supervise la invocación del modelo mediante registros CloudWatch

Puede utilizar el registro de invocaciones de modelos para recopilar los registros de invocación, los datos de entrada del modelo y los datos de salida del modelo para todas las invocaciones de su Cuenta de AWS utilizado en Amazon Bedrock.

Con el registro de invocaciones, puede recopilar todos los datos de las solicitudes, los datos de respuesta y los metadatos asociados a todas las llamadas realizadas en su cuenta. El registro se puede configurar para proporcionar los recursos de destino donde se publicarán los datos del registro. Los destinos compatibles incluyen Amazon CloudWatch Logs y Amazon Simple Storage Service (Amazon S3). Solo se admiten destinos de la misma cuenta y región.

El registro de invocaciones de modelos está deshabilitado de forma predeterminada.

Las siguientes operaciones pueden registrar las invocaciones del modelo.

Al utilizar Converse API, cualquier dato de imagen o documento que pase se registrará en Amazon S3 (si ha activado la entrega y el registro de imágenes en Amazon S3).

Antes de poder habilitar el registro de invocaciones, debe configurar un destino de Amazon S3 o CloudWatch Logs. Puede habilitar el registro de invocaciones a través de la consola o del. API

Temas

Configuración de un destino de Amazon S3
Configura un destino de registros CloudWatch
Modele el registro de invocaciones mediante la consola
Modele el registro de invocaciones mediante el API

Configuración de un destino de Amazon S3

Puede configurar un destino S3 para crear registros en Amazon Bedrock siguiendo estos pasos:

Cree un bucket de S3 donde se entregarán los registros.

Añádale una política de bucket como la que se muestra a continuación (sustituya los valores por accountId, region, bucketNamey, de forma opcional prefix):

nota

Se adjunta una política de bucket automáticamente al bucket en su nombre cuando configura el registro con los permisos S3:GetBucketPolicy y S3:PutBucketPolicy.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonBedrockLogsWrite",
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": [
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucketName/prefix/AWSLogs/accountId/BedrockModelInvocationLogs/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
      }
    }
  ]
}

(Opcional) Si está configurandoSSE: KMS en el bucket, añada la siguiente política a la KMS clave:


{
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
    }
}

Para obtener más información sobre KMS las configuraciones SSE de S3, consulte Especificar el KMS cifrado.

nota

El bucket ACL debe estar deshabilitado para que la política del bucket entre en vigor. Para obtener más información, consulta Cómo deshabilitar todos ACLs los depósitos nuevos y hacer cumplir la propiedad de los objetos.

Configura un destino de registros CloudWatch

Puede configurar un destino de Amazon CloudWatch Logs para iniciar sesión en Amazon Bedrock siguiendo estos pasos:

Cree un grupo de CloudWatch registros donde se publicarán los registros.

Cree un IAM rol con los siguientes permisos para los CloudWatch registros.

Entidad de confianza:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
      }
    }
  ]
}

Política de roles:


{
    "Version": "2012-10-17", 
    "Statement": [ 
        {
            "Effect": "Allow", 
            "Action": [ 
                "logs:CreateLogStream", 
                "logs:PutLogEvents" 
            ], 
            "Resource": "arn:aws:logs:region:accountId:log-group:logGroupName:log-stream:aws/bedrock/modelinvocations" 
         } 
    ]
}

Para obtener más información sobre la configuración de SSE los CloudWatch registros, consulte Cifrar los datos de registro en los CloudWatch registros mediante AWS Key Management Service.

Modele el registro de invocaciones mediante la consola

Para activar el registro de invocaciones de modelos, arrastre el botón deslizante situado junto al conmutador de registro en la página de Configuración. En el panel aparecerán ajustes de configuración adicionales para el registro.

Elija qué solicitudes y respuestas de datos desea publicar en los registros. Puede elegir cualquier combinación de las siguientes opciones de salida:

Texto
Imagen
Incrustación

Elija dónde publicar los registros:

Amazon S3 únicamente
CloudWatch Solo registros
Amazon S3 y CloudWatch Logs

CloudWatch Los destinos Amazon S3 y Logs son compatibles con los registros de invocación y los datos pequeños de entrada y salida. Para datos de entrada y salida grandes o salidas de imágenes binarias, solo se admite Amazon S3. Los siguientes detalles resumen cómo se representarán los datos en la ubicación de destino.

Destino S3: JSON los archivos comprimidos en Gzip, cada uno de los cuales contiene un lote de registros de invocación, se envían al depósito de S3 especificado. Al igual que en un evento de CloudWatch Logs, cada registro contendrá los metadatos de la invocación y los JSON cuerpos de entrada y salida con un tamaño máximo de 100 KB. Los datos binarios o JSON cuerpos de más de 100 KB se cargarán como objetos individuales en el depósito de Amazon S3 especificado con el prefijo de datos. Los datos se pueden consultar con Amazon S3 Select y Amazon Athena, y se pueden catalogar para su uso ETL AWS Glue. Los datos pueden cargarse en el OpenSearch servicio o procesarse por cualquier EventBridge objetivo de Amazon.
CloudWatch Destino de los registros: los eventos del registro de JSON invocación se envían a un grupo de registros específico en CloudWatch los registros. El registro de eventos contiene los metadatos de la invocación y los JSON cuerpos de entrada y salida con un tamaño máximo de 100 KB. Si se proporciona una ubicación de Amazon S3 para la entrega de datos de gran tamaño, los datos binarios o JSON cuerpos de más de 100 KB se cargarán en el bucket de Amazon S3 con el prefijo de datos. Los datos se pueden consultar mediante CloudWatch Logs Insights y se pueden transmitir a varios servicios en tiempo real mediante Logs. CloudWatch

Modele el registro de invocaciones mediante el API

El registro de invocación del modelo se puede configurar de la siguiente manera: APIs

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Supervise el estado y el rendimiento de Amazon Bedrock

Supervise las bases de conocimiento mediante CloudWatch registros