Configurar um destino do Amazon S3 Configurar um destino CloudWatch de registros Registro de invocação do modelo usando o console Registro de invocação de modelos usando o API

Monitore a invocação do modelo usando Logs CloudWatch

Você pode usar o registro de invocação do modelo para coletar registros de invocação, dados de entrada do modelo e dados de saída do modelo para todas as invocações em seu Conta da AWS usado no Amazon Bedrock.

Com o registro em log de invocações, você pode coletar todos os dados de solicitação, dados de resposta e metadados associados a todas as chamadas realizadas em sua conta. O registro pode ser configurado para fornecer os recursos de destino nos quais os dados de log serão publicados. Os destinos compatíveis incluem Amazon CloudWatch Logs e Amazon Simple Storage Service (Amazon S3). Somente destinos da mesma conta e região são aceitos.

O registro de invocação do modelo está desativado por padrão.

As operações a seguir podem registrar invocações do modelo.

Ao usar o Converse API, todos os dados de imagem ou documento que você passar são registrados no Amazon S3 (se você tiver habilitado a entrega e o registro de imagens no Amazon S3).

Antes de habilitar o registro de invocações, você precisa configurar um destino Amazon S3 CloudWatch ou Logs. Você pode ativar o registro de invocações por meio do console ou do. API

Tópicos

Configurar um destino do Amazon S3
Configurar um destino CloudWatch de registros
Registro de invocação do modelo usando o console
Registro de invocação de modelos usando o API

Configurar um destino do Amazon S3

Você pode configurar um destino S3 para fazer login no Amazon Bedrock com estas etapas:

Crie um bucket do S3 no qual os logs serão entregues.

Adicione uma política de bucket como a mostrada abaixo (Substitua valores por accountId, region, bucketNamee, opcionalmente prefix):

nota

Uma política de bucket é automaticamente anexada ao bucket em seu nome quando você configura o registro em log com as permissões S3:GetBucketPolicy e S3:PutBucketPolicy.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonBedrockLogsWrite",
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": [
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucketName/prefix/AWSLogs/accountId/BedrockModelInvocationLogs/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
      }
    }
  ]
}

(Opcional) Se estiver configurando SSE - KMS no bucket, adicione a política abaixo na KMS chave:


{
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
    }
}

Para obter mais informações sobre as KMS configurações do SSE S3, consulte KMSEspecificando a criptografia.

nota

O bucket ACL deve ser desativado para que a política do bucket entre em vigor. Para obter mais informações, consulte Desativação de todos ACLs os novos buckets e imposição da propriedade de objetos.

Configurar um destino CloudWatch de registros

Você pode configurar um destino do Amazon CloudWatch Logs para fazer login no Amazon Bedrock com as seguintes etapas:

Crie um grupo de CloudWatch registros onde os registros serão publicados.

Crie uma IAM função com as seguintes permissões para o CloudWatch Logs.

Entidade confiável:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
      }
    }
  ]
}

Política da função:


{
    "Version": "2012-10-17", 
    "Statement": [ 
        {
            "Effect": "Allow", 
            "Action": [ 
                "logs:CreateLogStream", 
                "logs:PutLogEvents" 
            ], 
            "Resource": "arn:aws:logs:region:accountId:log-group:logGroupName:log-stream:aws/bedrock/modelinvocations" 
         } 
    ]
}

Para obter mais informações sobre como configurar SSE o CloudWatch Logs, consulte Criptografar dados de log no CloudWatch Logs usando AWS Key Management Service.

Registro de invocação do modelo usando o console

Para habilitar o registro em log da invocação do modelo, arraste o botão deslizante ao lado da chave seletora Registro em log na página Configurações. Configurações adicionais para registro em log aparecerão no painel.

Escolha quais solicitações de dados e respostas você deseja publicar nos logs. Você pode escolher qualquer combinação das seguintes opções de saída:

Texto
Imagem
Incorporação

Escolha onde publicar os logs:

Somente Amazon S3
CloudWatch Somente registros
Tanto o Amazon S3 quanto o Logs CloudWatch

Os destinos Amazon S3 e CloudWatch Logs são compatíveis com registros de invocação e pequenos dados de entrada e saída. Para grandes dados de entrada e saída ou saídas de imagens binárias, somente o Amazon S3 é suportado. Os detalhes a seguir resumem como os dados serão representados no local de destino.

Destino do S3 — JSON arquivos compactados em gzip, cada um contendo um lote de registros de registro de invocação, são entregues ao bucket do S3 especificado. Semelhante a um evento de CloudWatch registros, cada registro conterá os metadados de invocação e JSON corpos de entrada e saída de até 100 KB de tamanho. Dados binários ou JSON corpos maiores que 100 KB serão carregados como objetos individuais no bucket especificado do Amazon S3 sob o prefixo de dados. Os dados podem ser consultados usando o Amazon S3 Select e o Amazon Athena e podem ser catalogados para uso ETL AWS Glue. Os dados podem ser carregados no OpenSearch serviço ou processados por qualquer EventBridge destino da Amazon.
CloudWatch Destino dos registros — os eventos do registro JSON de invocação são entregues a um grupo de registros especificado em CloudWatch Registros. O evento de log contém os metadados de invocação e JSON corpos de entrada e saída de até 100 KB de tamanho. Se um local do Amazon S3 para entrega de grandes dados for fornecido, dados binários ou JSON corpos maiores que 100 KB serão enviados para o bucket do Amazon S3 com o prefixo de dados. Em vez disso, os dados podem ser consultados CloudWatch usando o Logs Insights e podem ser transmitidos posteriormente para vários serviços em tempo real usando o Logs. CloudWatch

Registro de invocação de modelos usando o API

O registro de invocação do modelo pode ser configurado usando o seguinte: APIs

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Monitore a integridade e o desempenho do Amazon Bedrock

Monitore as bases de conhecimento usando o CloudWatch Logs