翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
を使用して Amazon Bedrock API呼び出しをモニタリングする CloudTrail
Amazon Bedrock は と統合されています AWS CloudTrail、ユーザー、ロール、または によって実行されたアクションを記録するサービス AWS Amazon Bedrock. の サービスは、Amazon Bedrock のすべてのAPI呼び出しをイベントとして CloudTrail キャプチャします。キャプチャされた呼び出しには、Amazon Bedrock コンソールからの呼び出しと、Amazon Bedrock APIオペレーションへのコード呼び出しが含まれます。証跡を作成する場合は、Amazon Bedrock の CloudTrail イベントなど、Amazon S3 バケットへのイベントの継続的な配信を有効にすることができます。 Amazon S3
証跡を設定しない場合でも、 CloudTrail コンソールのイベント履歴 で最新のイベントを表示できます。
で収集された情報を使用して CloudTrail、Amazon Bedrock に対するリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。
の詳細については CloudTrail、「」を参照してください。 AWS CloudTrail ユーザーガイド 。
の Amazon Bedrock 情報 CloudTrail
CloudTrail が で有効になっている AWS アカウント アカウントを作成するとき。Amazon Bedrock でアクティビティが発生すると、そのアクティビティは他の とともに CloudTrail イベントに記録されます。 AWS イベント履歴 の サービスイベント。で最近のイベントを表示、検索、ダウンロードできます。 AWS アカウント。 詳細については、「イベント履歴で CloudTrail イベントを表示する」を参照してください。
のイベントを継続的に記録するには AWS アカウント Amazon Bedrock のイベントを含む は、証跡を作成します。証跡により CloudTrail 、 はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成すると、証跡はすべての に適用されます。 AWS リージョン。 証跡は、 内のすべてのリージョンからのイベントをログに記録します。 AWS パーティション分割し、指定した Amazon S3 バケットにログファイルを配信します。さらに、他の AWS は、 CloudTrail ログで収集されたイベントデータをさらに分析し、それに基づいて行動するための サービスです。詳細については、次を参照してください:
各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます:
-
リクエストが root または で行われたかどうか AWS Identity and Access Management (IAM) ユーザー認証情報。
-
リクエストがロールまたはフェデレーションユーザーのテンポラリなセキュリティ認証情報を使用して行われたかどうか。
-
リクエストが別の によって行われたかどうか AWS サービス。
詳細については、CloudTrail userIdentity「」要素を参照してください。
の Amazon Bedrock データイベント CloudTrail
データイベントでは、リソース上またはリソース内で実行されるリソースオペレーション (Amazon S3 オブジェクトの読み取りまたは書き込みなど) についての情報が得られます。これらのイベントは、データプレーンオペレーションとも呼ばれます。データイベントは、多くの場合、デフォルトではログに記録 CloudTrail されない大量のアクティビティです。
Amazon Bedrock は、Amazon Bedrock ランタイムAPIオペレーション (InvokeModel、InvokeModelWithResponseStream、Converse、および ConverseStream) を管理イベントとしてログに記録します。
Amazon Bedrock は、すべての Agents for Amazon Bedrock ランタイムAPIオペレーションアクションをデータイベント CloudTrail として に記録します。
-
ログ記録するには InvokeAgent 呼び出し、
AWS::Bedrock::AgentAliasリソースタイプのデータイベントを記録するようにアドバンストイベントセレクタを設定します。 -
ログ記録するには Retrieve および RetrieveAndGenerate 呼び出し、
AWS::Bedrock::KnowledgeBaseリソースタイプのデータイベントを記録するようにアドバンストイベントセレクタを設定します。 -
InvokeFlow 呼び出しをログに記録するには、
AWS::Bedrock::FlowAliasリソースタイプのデータイベントを記録するように高度なイベントセレクタを設定します。
CloudTrail コンソールから、データイベントタイプ の Bedrock エージェントエイリアスまたは Bedrock ナレッジベースを選択します。さらに、カスタムログセレクタテンプレートを選択することで、eventName および resources.ARN フィールドをフィルタリングすることもできます。詳細については、「 AWSマネジメントコンソール を使用したデータイベントのログ記録」を参照してください。
から AWS CLI、、AWS::Bedrock::AgentAlias、または に等しいresource.type値を設定しAWS::Bedrock::KnowledgeBase、 にeventCategory等しい値AWS::Bedrock::FlowAliasを設定しますData。詳細については、「 を使用したデータイベントのログ記録」を参照してください。 AWS CLI.
次の例は、 のすべての Amazon Bedrock リソースタイプのすべての Amazon Bedrock データイベントをログに記録するように証跡を設定する方法を示しています。 AWS CLI.
aws cloudtrail put-event-selectors --trail-nametrailName\ --advanced-event-selectors \ '[ { "Name": "Log all data events on an alias of an agent in Amazon Bedrock.", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Bedrock::AgentAlias"] } ] }, { "Name": "Log all data events on a knowledge base in Amazon Bedrock.", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Bedrock::KnowledgeBase"] } ] }, { "Name": "Log all data events on a prompt flow in Amazon Bedrock.", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Bedrock::FlowAlias"] } ] } { "Name": "Log all data events on a guardrail in Amazon Bedrock.", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Bedrock::Guardrail"] } ] } ]'
さらに、eventName および resources.ARN フィールドをフィルタリングすることもできます。これらのフィールドの詳細については、「」を参照してください。 AdvancedFieldSelector.
追加の変更がイベントデータに適用されます。 CloudTrail 料金の詳細については、「」を参照してください。 AWS CloudTrail 料金
の Amazon Bedrock 管理イベント CloudTrail
管理イベントは、 のリソースで実行される管理オペレーションに関する情報を提供します。 AWS アカウント。これらは、デフォルトではコントロールプレーン operations. CloudTrail logs 管理イベントAPIオペレーションとも呼ばれます。
Amazon Bedrock は、Amazon Bedrock ランタイムAPIオペレーション (InvokeModel、InvokeModelWithResponseStream、Converse、および ConverseStream) を管理イベントとしてログに記録します。
Amazon Bedrock は、残りの Amazon Bedrock APIオペレーションを管理イベントとしてログに記録します。Amazon Bedrock が に記録する Amazon Bedrock APIオペレーションのリストについては CloudTrail、Amazon Bedrock APIリファレンスの以下のページを参照してください。
Amazon Bedrock のすべてのAPIオペレーションと Agents for Amazon Bedrock APIオペレーションは、 によってログに記録 CloudTrail され、Amazon Bedrock APIリファレンス に文書化されます。例えば、InvokeModel、、および CreateAgentアクションを呼び出すとStopModelCustomizationJob、 CloudTrail ログファイルにエントリが生成されます。
Amazon GuardDuty
Amazon Bedrock ログファイルエントリの概要
証跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信できるようにする設定です。 CloudTrail ログファイルには 1 つ以上のログエントリが含まれます。イベントは任意のソースからの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストパラメータなどに関する情報が含まれます。 CloudTrail ログファイルはパブリックAPIコールの順序付けられたスタックトレースではないため、特定の順序では表示されません。
次の例は、 InvokeModelアクションを示す CloudTrail ログエントリを示しています。
{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "AROAICFHPEXAMPLE", "arn": "arn:aws:iam::111122223333:user/userxyz", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "userxyz" }, "eventTime": "2023-10-11T21:58:59Z", "eventSource": "bedrock.amazonaws.com", "eventName": "InvokeModel", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "Boto3/1.28.62 md/Botocore#1.31.62 ua/2.0 os/macos#22.6.0 md/arch#arm64 lang/python#3.9.6 md/pyimpl#CPython cfg/retry-mode#legacy Botocore/1.31.62", "requestParameters": { "modelId": "stability.stable-diffusion-xl-v0" }, "responseElements": null, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 ", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "cipher suite", "clientProvidedHostHeader": "bedrock-runtime.us-west-2.amazonaws.com" } }
