Configurazione di una destinazione Amazon S3 Configura una destinazione per i log CloudWatch Modella la registrazione delle chiamate utilizzando la console Modella la registrazione delle chiamate utilizzando il API

Monitora l'invocazione del modello utilizzando Logs CloudWatch

È possibile utilizzare la registrazione delle chiamate del modello per raccogliere i registri delle chiamate, i dati di input del modello e i dati di output del modello per tutte le chiamate del modello Account AWS utilizzato in Amazon Bedrock.

Con la registrazione di log delle invocazioni, puoi raccogliere tutti i dati della richiesta, i dati della risposta e i metadati associati a tutte le chiamate eseguite nel tuo account. La registrazione di log può essere configurata per fornire le risorse di destinazione in cui verranno pubblicati i dati di log. Le destinazioni supportate includono Amazon CloudWatch Logs e Amazon Simple Storage Service (Amazon S3). Sono supportate solo le destinazioni dello stesso account e della stessa regione.

La registrazione delle chiamate del modello è disabilitata per impostazione predefinita.

Le seguenti operazioni possono registrare le chiamate del modello.

Quando usi Converse API, tutti i dati di immagine o documento che trasmetti vengono registrati in Amazon S3 (se hai abilitato la consegna e la registrazione delle immagini in Amazon S3).

Prima di poter abilitare la registrazione delle chiamate, devi configurare una destinazione Amazon S3 o Logs. CloudWatch Puoi abilitare la registrazione delle chiamate tramite la console o il. API

Argomenti

Configurazione di una destinazione Amazon S3
Configura una destinazione per i log CloudWatch
Modella la registrazione delle chiamate utilizzando la console
Modella la registrazione delle chiamate utilizzando il API

Configurazione di una destinazione Amazon S3

Puoi configurare una destinazione S3 per la registrazione di log in Amazon Bedrock seguendo questi passaggi:

Crea un bucket S3 in cui verranno recapitati i log.

Aggiungi una policy bucket come quella riportata di seguito (Sostituisci i valori per accountId, region, bucketNamee facoltativamente prefix):

Nota

Una policy del bucket viene associata automaticamente al bucket per conto tuo quando configuri la registrazione di log con le autorizzazioni S3:GetBucketPolicy e S3:PutBucketPolicy.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonBedrockLogsWrite",
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": [
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucketName/prefix/AWSLogs/accountId/BedrockModelInvocationLogs/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
      }
    }
  ]
}

(Facoltativo) Se stai configurando SSE - KMS sul bucket, aggiungi la seguente politica sulla chiave: KMS


{
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
    }
}

Per ulteriori informazioni su S3 SSE - KMS configurazioni, consulta Specificare la crittografia. KMS

Nota

Il bucket ACL deve essere disabilitato affinché la policy del bucket abbia effetto. Per ulteriori informazioni, consulta Disabilitazione ACLs per tutti i nuovi bucket e applicazione della proprietà degli oggetti.

Configura una destinazione per i log CloudWatch

Puoi configurare una destinazione Amazon CloudWatch Logs per l'accesso ad Amazon Bedrock con i seguenti passaggi:

Crea un gruppo di CloudWatch log in cui verranno pubblicati i log.

Crea un IAM ruolo con le seguenti autorizzazioni per CloudWatch i registri.

Entità attendibile:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
      }
    }
  ]
}

Policy del ruolo:


{
    "Version": "2012-10-17", 
    "Statement": [ 
        {
            "Effect": "Allow", 
            "Action": [ 
                "logs:CreateLogStream", 
                "logs:PutLogEvents" 
            ], 
            "Resource": "arn:aws:logs:region:accountId:log-group:logGroupName:log-stream:aws/bedrock/modelinvocations" 
         } 
    ]
}

Per ulteriori informazioni sulla configurazione dei CloudWatch registri, consulta SSE Crittografare i dati di registro nei registri utilizzando CloudWatch AWS Key Management Service.

Modella la registrazione delle chiamate utilizzando la console

Per abilitare la registrazione di log delle invocazioni dei modelli, trascina il cursore accanto all'interruttore Logging nella pagina Impostazioni. Nel pannello verranno visualizzate altre impostazioni di configurazione per la registrazione di log.

Scegli quali richieste e risposte dei dati pubblicare nei log. Puoi anche scegliere una combinazione qualsiasi delle seguenti opzioni di output:

Testo
Immagine
Incorporamento

Scegli dove pubblicare i log:

Solo Amazon S3
CloudWatch Solo registri
Amazon S3 e Logs CloudWatch

Le destinazioni Amazon S3 e CloudWatch Logs sono supportate per log di invocazione e piccoli dati di input e output. Per dati di input e output di grandi dimensioni o per gli output di immagini binarie, è supportato solo Amazon S3. I seguenti dettagli riassumono il modo in cui i dati verranno rappresentati nella posizione di destinazione.

Destinazione S3: JSON i file Gzip, ciascuno contenente un batch di record di log di chiamata, vengono consegnati al bucket S3 specificato. Analogamente a un evento CloudWatch Logs, ogni record conterrà i metadati di invocazione e corpi di input e output di dimensioni fino a 100 KB. JSON I dati o i JSON corpi binari più grandi di 100 KB verranno caricati come singoli oggetti nel bucket Amazon S3 specificato con il prefisso dati. I dati possono essere interrogati utilizzando Amazon S3 Select e Amazon Athena e possono essere catalogati per l'utilizzo ETL AWS Glue. I dati possono essere caricati in OpenSearch servizio o elaborati da qualsiasi EventBridge destinazione Amazon.
CloudWatch Destinazione dei log: gli eventi JSON del registro di chiamata vengono inviati a un gruppo di log specificato in Logs. CloudWatch L'evento di registro contiene i metadati di chiamata e i JSON corpi di input e output di dimensioni fino a 100 KB. Se viene fornita una posizione Amazon S3 per la distribuzione di grandi quantità di dati, nel bucket Amazon S3 verranno invece caricati dati binari o JSON corpi di dimensioni superiori a 100 KB con il prefisso data. I dati possono essere interrogati CloudWatch utilizzando Logs Insights e possono essere ulteriormente trasmessi a vari servizi in tempo reale utilizzando Logs. CloudWatch

Modella la registrazione delle chiamate utilizzando il API

La registrazione delle chiamate del modello può essere configurata utilizzando quanto segue: APIs

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Monitora lo stato e le prestazioni di Amazon Bedrock

Monitora le knowledge base utilizzando CloudWatch i log