Configuración de un destino de Amazon S3 Configura un destino de registros CloudWatch Registro de invocaciones de modelos con la consola Registro de invocaciones de modelos con la API

Supervise la invocación del modelo mediante registros CloudWatch

Puede usar el registro de invocación de modelos para recopilar registros de invocación, datos de entrada de modelos y datos de salida de modelos para todas las invocaciones que utilice Cuenta de AWS en Amazon Bedrock en una región.

Con el registro de invocaciones, puede recopilar todos los datos de las solicitudes, los datos de respuesta y los metadatos asociados a todas las llamadas realizadas en su cuenta de una región. El registro se puede configurar para proporcionar los recursos de destino donde se publicarán los datos del registro. Los destinos compatibles incluyen Amazon CloudWatch Logs y Amazon Simple Storage Service (Amazon S3). Solo se admiten destinos de la misma cuenta y región.

El registro de invocaciones de modelos está desactivado de forma predeterminada.

Las siguientes operaciones pueden registrar las invocaciones de modelos.

Al utilizar el Converse La API y cualquier dato de imagen o documento que pase se registrará en Amazon S3 (si ha activado la entrega y el registro de imágenes en Amazon S3).

Antes de poder habilitar el registro de invocaciones, debe configurar un destino de Amazon S3 o CloudWatch Logs. Puede habilitar el registro de invocaciones a través de la consola o de la API.

Temas

Configuración de un destino de Amazon S3
Configura un destino de registros CloudWatch
Registro de invocaciones de modelos con la consola
Registro de invocaciones de modelos con la API

Configuración de un destino de Amazon S3

Puede configurar un destino S3 para crear registros en Amazon Bedrock siguiendo estos pasos:

Cree un bucket de S3 donde se entregarán los registros.

Añádale una política de bucket como la que se muestra a continuación (sustituya los valores poraccountId, y regionbucketName, de forma opcionalprefix):

nota

Se adjunta una política de bucket automáticamente al bucket en su nombre cuando configura el registro con los permisos S3:GetBucketPolicy y S3:PutBucketPolicy.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonBedrockLogsWrite",
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": [
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucketName/prefix/AWSLogs/accountId/BedrockModelInvocationLogs/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
      }
    }
  ]
}

(Opcional) Si va a configurar SSE-KMS en el bucket, agregue la siguiente política a la clave de KMS:


{
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
    }
}

Para obtener más información sobre las configuraciones de SSE-KMS de S3, consulte Especificar el cifrado KMS.

nota

La ACL del bucket debe estar deshabilitada para que la política del bucket surta efecto. Para obtener más información, consulta Cómo deshabilitar todos ACLs los depósitos nuevos y hacer cumplir la propiedad de los objetos.

Configura un destino de registros CloudWatch

Puede configurar un destino de Amazon CloudWatch Logs para iniciar sesión en Amazon Bedrock siguiendo estos pasos:

Cree un grupo de CloudWatch registros donde se publicarán los registros.

Cree un rol de IAM con los siguientes permisos para los CloudWatch registros.

Entidad de confianza:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
      }
    }
  ]
}

Política de roles:


{
    "Version": "2012-10-17", 
    "Statement": [ 
        {
            "Effect": "Allow", 
            "Action": [ 
                "logs:CreateLogStream", 
                "logs:PutLogEvents" 
            ], 
            "Resource": "arn:aws:logs:region:accountId:log-group:logGroupName:log-stream:aws/bedrock/modelinvocations" 
         } 
    ]
}

Para obtener más información sobre cómo configurar el SSE para CloudWatch los registros, consulte Cifrar los datos de registro en los CloudWatch registros mediante. AWS Key Management Service

Registro de invocaciones de modelos con la consola

Para activar el registro de invocaciones de modelos, arrastre el botón deslizante situado junto al conmutador de registro en la página de Configuración. En el panel aparecerán ajustes de configuración adicionales para el registro.

Elija qué solicitudes y respuestas de datos desea publicar en los registros. Puede elegir cualquier combinación de las siguientes opciones de salida:

Texto
Imagen
Incrustación

Elija dónde publicar los registros:

Amazon S3 únicamente
CloudWatch Solo registros
Amazon S3 y CloudWatch Logs

CloudWatch Los destinos Amazon S3 y Logs son compatibles con los registros de invocación y los datos pequeños de entrada y salida. Para datos de entrada y salida grandes o salidas de imágenes binarias, solo se admite Amazon S3. Los siguientes detalles resumen cómo se representarán los datos en la ubicación de destino.

Destino de S3: los archivos JSON comprimidos con Gzip, cada uno de los cuales contiene un lote de registros de invocación, se envían al bucket de S3 especificado. Al igual que en un evento de CloudWatch Logs, cada registro contendrá los metadatos de la invocación y los cuerpos JSON de entrada y salida de hasta 100 KB de tamaño. Los datos binarios o los cuerpos JSON de más de 100 KB se cargarán como objetos individuales en el bucket de Amazon S3 especificado con el prefijo de datos. Los datos se pueden consultar con Amazon S3 Select y Amazon Athena, y se pueden catalogar para ETL mediante AWS Glue. Los datos pueden cargarse en el OpenSearch servicio o procesarse por cualquier EventBridge objetivo de Amazon.
CloudWatch Destino de los registros: los eventos del registro de invocación a JSON se envían a un grupo de registros específico en CloudWatch los registros. El evento de registro contiene los metadatos de la invocación y los cuerpos JSON de entrada y salida con un tamaño máximo de 100 KB. Si se proporciona una ubicación de Amazon S3 para la entrega de datos de gran tamaño, los datos binarios o los cuerpos de JSON de más de 100 KB se cargarán en el bucket de Amazon S3 con el prefijo de datos. Los datos se pueden consultar mediante CloudWatch Logs Insights y se pueden transmitir a varios servicios en tiempo real mediante Logs. CloudWatch

Registro de invocaciones de modelos con la API

El registro de invocación del modelo se puede configurar de la siguiente manera: APIs

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Supervisión del estado y el rendimiento de Amazon Bedrock

Supervise las bases de conocimiento mediante CloudWatch registros