Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

Monitor Amazon Bedrock API calls using CloudTrail

RSS
フォーカスモード
Monitor Amazon Bedrock API calls using CloudTrail - Amazon Bedrock
CloudTrail 内の Amazon Bedrock 情報CloudTrail の Amazon Bedrock データイベントCloudTrail の Amazon Bedrock 管理イベントAmazon Bedrock ログファイルエントリの概要

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Bedrock は AWS CloudTrail、Amazon Bedrock のユーザー、ロール、または のサービスによって実行されたアクションを記録する AWS サービスである と統合されています。CloudTrail は、Amazon Bedrock へのすべての API コールをイベントとしてキャプチャします。キャプチャされるコールには、Amazon Bedrock コンソールからのコールと、Amazon Bedrock API オペレーションへのコードコールが含まれます。証跡を作成する場合は、Amazon Bedrock のイベントなど、Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。

証跡を設定しない場合でも、CloudTrail コンソールの [イベント履歴] で最近のイベントを表示できます。

CloudTrail により収集された情報を使用して、Amazon Bedrock に対して行われたリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエストが行われた日時、および追加の詳細を特定することができます。

CloudTrail の詳細については、「AWS CloudTrail ユーザーガイド」を参照してください。

CloudTrail 内の Amazon Bedrock 情報

CloudTrail は、アカウントの作成 AWS アカウント 時に で有効になります。Amazon Bedrock でアクティビティが発生すると、そのアクティビティはイベント履歴の他の AWS サービスイベントとともに CloudTrail イベントに記録されます。で最近のイベントを表示、検索、ダウンロードできます AWS アカウント。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

Amazon Bedrock のイベントなど AWS アカウント、 のイベントの継続的な記録については、証跡を作成します。証跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべての AWS リージョンに適用されます。証跡は、 AWS パーティション内のすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、CloudTrail ログで収集されたイベントデータをさらに分析して処理するように、他の AWS サービスを設定できます。詳細については、次を参照してください:

各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます。

  • リクエストが root または AWS Identity and Access Management (IAM) ユーザー認証情報を使用して行われたかどうか。

  • リクエストがロールまたはフェデレーションユーザーのテンポラリなセキュリティ認証情報を使用して行われたかどうか。

  • リクエストが別の AWS サービスによって行われたかどうか。

詳細については、「CloudTrail userIdentity エレメント」を参照してください。

CloudTrail の Amazon Bedrock データイベント

データイベントでは、リソース上またはリソース内で実行されるリソースオペレーション (Amazon S3 オブジェクトの読み取りまたは書き込みなど) についての情報が得られます。これらのイベントは、データプレーンオペレーションとも呼ばれます。データイベントは多くの場合、高ボリュームのアクティビティであり、デフォルトでは CloudTrail によってログ記録されません。

Amazon Bedrock は、Amazon Bedrock ランタイム API オペレーション (InvokeModelInvokeModelWithResponseStreamConverse、、 などConverseStream) を管理イベントとしてログに記録します。

Amazon Bedrock は、Amazon Bedrock ランタイム API オペレーション ( や など) のすべてのエージェントアクションをデータイベントとして CloudTrail に記録します。 InvokeAgent InvokeInlineAgent

  • InvokeAgent 呼び出しをログに記録するには、AWS::Bedrock::AgentAlias リソースタイプのデータイベントを記録するように高度なイベントセレクタを設定します。

  • InvokeInlineAgent 呼び出しをログに記録するには、AWS::Bedrock::InlineAgent リソースタイプのデータイベントを記録するように高度なイベントセレクタを設定します。

  • Retrieve 呼び出しおよび RetrieveAndGenerate 呼び出しをログに記録するには、AWS::Bedrock::KnowledgeBase リソースタイプのデータイベントを記録するように高度なイベントセレクタを設定します。

  • InvokeAgent の呼び出しをログ記録するには、AWS::Bedrock::FlowAlias リソースタイプのデータイベントを記録するように高度なイベントセレクタを設定します。

  • RenderPrompt 呼び出しをログに記録するには、AWS::Bedrock::Promptリソースタイプのデータイベントを記録するように高度なイベントセレクタを設定します。 RenderPromptは、プロンプト管理を使用して作成されたプロンプトをモデル呼び出し (InvokeModel(WithResponseStream) および ) 用にレンダリングするアクセス許可のみのアクションですConverse(Stream)

CloudTrail コンソールから、[データイベントタイプ] として [Bedrock エージェントエイリアス] または [Bedrock ナレッジベース]を選択します。さらに、カスタムログセレクタテンプレートを選択することで、eventName および resources.ARN フィールドをフィルタリングすることもできます。詳細については、「 AWS マネジメントコンソールを使用したデータイベントのログ記録」を参照してください。

から AWS CLI、 resource.type 値を AWS::Bedrock::AgentAlias、、または に設定AWS::Bedrock::FlowAliasAWS::Bedrock::KnowledgeBase、 を eventCategoryに設定しますData。詳細については、「AWS CLIでのデータイベントのログ記録」を参照してください。

次の例では、 AWS CLIのすべての Amazon Bedrock リソースタイプに関する Amazon Bedrock データイベントをすべてログ記録する証跡を設定する方法を示します。

aws cloudtrail put-event-selectors --trail-name trailName \
--advanced-event-selectors \
'[
  {
    "Name": "Log all data events on an alias of an agent in Amazon Bedrock.",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::Bedrock::AgentAlias"] }
    ]
  },
  {
    "Name": "Log all data events on a knowledge base in Amazon Bedrock.",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::Bedrock::KnowledgeBase"] }
    ]
  },
  {
    "Name": "Log all data events on a flow in Amazon Bedrock.",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::Bedrock::FlowAlias"] }
    ]
  }
  {
    "Name": "Log all data events on a guardrail in Amazon Bedrock.",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::Bedrock::Guardrail"] }
    ]
  }
]'

さらに、eventName および resources.ARN フィールドをフィルタリングすることもできます。フィールドの詳細については、「AdvancedFieldSelector」を参照してください。

追加の変更がイベントデータに適用されます。CloudTrail の料金の詳細については、「AWS CloudTrail の料金」を参照してください。

CloudTrail の Amazon Bedrock 管理イベント

管理イベントは、 AWS アカウントのリソースで実行される管理オペレーションに関する情報を提供します。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。CloudTrail は、デフォルトで管理イベント API オペレーションをログ記録します。

Amazon Bedrock は、Amazon Bedrock Runtime API オペレーション (InvokeModelInvokeModelWithResponseStreamConverse および ConverseStream) を管理イベントとしてログに記録します。

Amazon Bedrock は、残りの Amazon Bedrock API オペレーションを管理イベントとしてログ記録します。Amazon Bedrock が CloudTrail にログ記録する Amazon Bedrock API オペレーションのリストについては、「Amazon Bedrock API リファレンス」の次のページをご覧ください。

Amazon Bedrock API オペレーションAgents for Amazon Bedrock API オペレーションはすべて CloudTrail によってログ記録されます。これらのオペレーションは、「Amazon Bedrock API リファレンス」で説明されています。例えば、InvokeModelStopModelCustomizationJobCreateAgent の各アクションを呼び出すと、CloudTrail ログファイルにエントリが生成されます。

Amazon GuardDuty は CloudTrail 管理とイベントログを継続的に監視および分析して、潜在的なセキュリティ問題を検出します。 AWS アカウントの Amazon GuardDuty を有効にすると、CloudTrail ログの分析が自動的に開始され、ユーザーが新しい場所からログインしたり、Amazon Bedrock APIs を使用して Amazon Bedrock ガードレールを削除したり、モデルトレーニングデータの Amazon S3 バケットセットを変更したりするなど、Amazon Bedrock APIs で疑わしいアクティビティが検出されます。

Amazon Bedrock ログファイルエントリの概要

「トレイル」は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。CloudTrail のログファイルは、単一か複数のログエントリを含みます。イベントは任意ソースからの単一リクエストを表し、リクエストされたアクション、アクションの日時、リクエストパラメータなどの情報を含みます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

以下の例は、InvokeModel アクションを示す CloudTrail ログエントリです。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AROAICFHPEXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/userxyz",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "userxyz"
    },
    "eventTime": "2023-10-11T21:58:59Z",
    "eventSource": "bedrock.amazonaws.com",
    "eventName": "InvokeModel",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "Boto3/1.28.62 md/Botocore#1.31.62 ua/2.0 os/macos#22.6.0 md/arch#arm64 lang/python#3.9.6 md/pyimpl#CPython cfg/retry-mode#legacy Botocore/1.31.62",
    "requestParameters": {
        "modelId": "stability.stable-diffusion-xl-v0"
    },
    "responseElements": null,
    "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 ",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "cipher suite",
        "clientProvidedHostHeader": "bedrock-runtime.us-west-2.amazonaws.com"
    }
}

このページの内容

Related resources

Amazon Bedrock API リファレンス
AWS CLI の コマンド Amazon Bedrock
SDK とツール 

Related resources

Amazon Bedrock API リファレンス
AWS CLI の コマンド Amazon Bedrock
SDK とツール 
プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.