Configurar um destino do Amazon S3 Configurar um destino CloudWatch de registros Registro em log da invocação de modelos usando o console Registro em log da invocação de modelos usando a API

Monitore a invocação do modelo usando Logs CloudWatch

Você pode usar o registro de invocação do modelo para coletar registros de invocação, dados de entrada do modelo e dados de saída do modelo para todas as invocações usadas no Amazon Bedrock Conta da AWS em uma região.

Com o registro de invocações, você pode coletar todos os dados de solicitação, dados de resposta e metadados associados a todas as chamadas realizadas em sua conta em uma região. O registro pode ser configurado para fornecer os recursos de destino nos quais os dados de log serão publicados. Os destinos compatíveis incluem Amazon CloudWatch Logs e Amazon Simple Storage Service (Amazon S3). Somente destinos na mesma conta e região são compatíveis.

O registro em log de invocação do modelo está desabilitado por padrão.

As operações a seguir podem registrar em log as invocações do modelo.

Ao usar o Converse API, qualquer dado de imagem ou documento que você passar é registrado no Amazon S3 (se você tiver habilitado a entrega e o registro de imagens no Amazon S3).

Antes de habilitar o registro de invocações, você precisa configurar um destino Amazon S3 CloudWatch ou Logs. É possível habilitar o log de invocação por meio do console ou da API.

Tópicos

Configurar um destino do Amazon S3
Configurar um destino CloudWatch de registros
Registro em log da invocação de modelos usando o console
Registro em log da invocação de modelos usando a API

Configurar um destino do Amazon S3

É possível configurar um destino do S3 para fazer login no Amazon Bedrock com estas etapas:

Crie um bucket do S3 no qual os logs serão entregues.

Adicione uma política de bucket como a mostrada abaixo (substitua valores poraccountId, regionbucketName, e opcionalmenteprefix):

nota

Uma política de bucket é automaticamente anexada ao bucket em seu nome quando você configura o registro em log com as permissões S3:GetBucketPolicy e S3:PutBucketPolicy.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonBedrockLogsWrite",
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": [
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucketName/prefix/AWSLogs/accountId/BedrockModelInvocationLogs/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
      }
    }
  ]
}

(Opcional) Se estiver configurando o SSE-KMS no bucket, adicione a política abaixo na chave KMS:


{
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
    }
}

Para obter mais informações sobre as configurações SSE-KMS do S3, consulte Especificar a criptografia do KMS.

nota

A ACL do bucket deve ser desativada para que a política do bucket entre em vigor. Para obter mais informações, consulte Desativação de todos ACLs os novos buckets e imposição da propriedade de objetos.

Configurar um destino CloudWatch de registros

Você pode configurar um destino do Amazon CloudWatch Logs para fazer login no Amazon Bedrock com as seguintes etapas:

Crie um grupo de CloudWatch registros onde os registros serão publicados.

Crie uma função do IAM com as seguintes permissões para CloudWatch Logs.

Entidade confiável:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
      }
    }
  ]
}

Política da função:


{
    "Version": "2012-10-17", 
    "Statement": [ 
        {
            "Effect": "Allow", 
            "Action": [ 
                "logs:CreateLogStream", 
                "logs:PutLogEvents" 
            ], 
            "Resource": "arn:aws:logs:region:accountId:log-group:logGroupName:log-stream:aws/bedrock/modelinvocations" 
         } 
    ]
}

Para obter mais informações sobre como configurar o SSE para CloudWatch registros, consulte Criptografar dados de registro em CloudWatch registros usando AWS Key Management Service.

Registro em log da invocação de modelos usando o console

Para habilitar o registro em log da invocação de modelos, arraste o botão deslizante ao lado da chave seletora Registro em log na página Configurações. Configurações adicionais para registro em log aparecerão no painel.

Escolha quais solicitações de dados e respostas você deseja publicar nos logs. É possível escolher qualquer combinação das seguintes opções de saída:

Texto
Imagem
Incorporação

Escolha onde publicar os logs:

Somente Amazon S3
CloudWatch Somente registros
Tanto o Amazon S3 quanto o Logs CloudWatch

Os destinos Amazon S3 e CloudWatch Logs são compatíveis com registros de invocação e pequenos dados de entrada e saída. Para grandes dados de entrada e saída ou de saídas de imagens binárias, somente o Amazon S3 é compatível. Os detalhes a seguir resumem como os dados serão representados no local de destino.

Destino do S3: arquivos JSON compactados em gzip, cada um contendo um lote de registros de log de invocação, são entregues ao bucket do S3 especificado. Semelhante a um evento CloudWatch Logs, cada registro conterá os metadados de invocação e corpos JSON de entrada e saída de até 100 KB de tamanho. Dados binários ou corpos JSON maiores que 100 KB serão carregados como objetos individuais no bucket do Amazon S3 especificado sob o prefixo de dados. Os dados podem ser consultados usando o Amazon S3 Select e o Amazon Athena e podem ser catalogados para uso de ETL. AWS Glue Os dados podem ser carregados no OpenSearch serviço ou processados por qualquer EventBridge destino da Amazon.
CloudWatch Destino dos registros — os eventos do registro de invocação JSON são entregues a um grupo de registros especificado em Logs. CloudWatch O evento de logs contém os metadados de invocação e corpos JSON de entrada e saída de até 100 KB. Se um local do Amazon S3 para entrega de grandes dados for fornecido, dados binários ou corpos JSON maiores que 100 KB serão enviados para o bucket do Amazon S3 com o prefixo de dados. Em vez disso, os dados podem ser consultados usando o CloudWatch Logs Insights e podem ser transmitidos posteriormente para vários serviços em tempo real usando o Logs. CloudWatch

Registro em log da invocação de modelos usando a API

O registro de invocação do modelo pode ser configurado usando o seguinte: APIs

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Monitorar a integridade e a performance do Amazon Bedrock

Monitore as bases de conhecimento usando o CloudWatch Logs