使用記錄監視模型叫用 CloudWatch - Amazon Bedrock
設定 Amazon S3 目的地設定記 CloudWatch 錄檔目的地使用控制台模型調用日誌記錄模型叫用記錄 API

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用記錄監視模型叫用 CloudWatch

您可以使用模型叫用記錄來收集叫用記錄、模型輸入資料,以及模型輸出資料,以供您的 AWS 帳戶 用於 Amazon 基岩。

透過調用日誌記錄功能,您可以收集完整的請求資料、回應資料,以及與帳戶中執行的所有呼叫相關聯的中繼資料。您可以設定記錄功能,以提供將發布記錄資料的目的地資源。支援的目的地包括 Amazon CloudWatch 日誌和亞馬遜簡單儲存服務 (Amazon S3)。僅支援來自相同帳戶和區域的目的地。

模型叫用記錄預設為停用。

下列作業可以記錄模型呼叫。

使用 Converse 時API,您傳遞的任何影像或文件資料都會記錄在 Amazon S3 中 (如果您已在 Amazon S3 中用交付和影像記錄功能)。

您必須先設定 Amazon S3 或 CloudWatch 日誌目的地,才能啟用叫用記錄。您可以透過主控台或. API

設定 Amazon S3 目的地

您可以透過下列步驟設定 S3 目的地,以便在 Amazon Bedrock 中登入:

  1. 建立要將日誌傳送至的 S3 儲存貯體。

  2. 像下面那樣向其添加存儲桶策略(替換值 accountId, region, bucketName,以及選擇性 prefix):

    注意

    當您使用權限 S3:GetBucketPolicyS3:PutBucketPolicy 設定記錄時,儲存貯體政策會代表您自動附加至儲存貯體。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonBedrockLogsWrite",
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": [
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucketName/prefix/AWSLogs/accountId/BedrockModelInvocationLogs/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
      }
    }
  ]
}

  3. (可選)如果在值區KMS上配置 SSE-,請在KMS密鑰上添加以下策略:

    {
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
    }
}

如需 S3 SSE-KMS 組態的詳細資訊,請參閱指定KMS加密

注意

值區ACL必須停用,儲存貯體政策才會生效。如需詳細資訊,請參閱停ACLs用所有新值區和強制執行物件擁有權

設定記 CloudWatch 錄檔目的地

您可以按照以下步驟設置 Amazon CloudWatch 日誌目的地以在 Amazon 基岩中進行日誌記錄:

  1. 建立 CloudWatch 將在其中發佈記錄檔的記錄群組。

  2. 建立具有下列 CloudWatch 記錄權限的IAM角色。

    信任實體

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
      }
    }
  ]
}

    角色政策

    {
    "Version": "2012-10-17", 
    "Statement": [ 
        {
            "Effect": "Allow", 
            "Action": [ 
                "logs:CreateLogStream", 
                "logs:PutLogEvents" 
            ], 
            "Resource": "arn:aws:logs:region:accountId:log-group:logGroupName:log-stream:aws/bedrock/modelinvocations" 
         } 
    ]
}

如需有關設定 CloudWatch 記錄檔的SSE詳細資訊,請參閱使用以下方式加密 CloudWatch 記錄檔中的記錄 AWS Key Management Service.

使用控制台模型調用日誌記錄

若要啟用模型調用記錄,請拖曳設定頁面中記錄切換參數旁的滑桿按鈕。記錄的其他組態設定會出現在面板上。

選擇您要將哪些資料請求和回應發布至日誌。您可以選擇下列輸出選項的任意組合:

  • 文字

  • 映像

  • 內嵌項目

選擇發布日誌的位置:

  • 僅限 Amazon S3

  • CloudWatch 僅記錄

  • Amazon S3 和 CloudWatch 日誌

Amazon S3 和 CloudWatch 日誌目的地支援叫用日誌以及小型輸入和輸出資料。對於大型輸入和輸出資料或二進位映像輸出,僅支援 Amazon S3。下列詳細資訊摘要如何在目標位置中呈現資料。

  • S3 目的地 — Gzip JSON 檔案 (每個檔案都包含一批叫用日誌記錄) 會傳送到指定的 S3 儲存貯體。與記 CloudWatch 錄事件類似,每個記錄都會包含叫用中繼資料,以及大小不超過 100 KB 的輸入和輸出JSON主體。二進位資料或大於 100 KB 的JSON主體,會在資料前置詞下以個別物件形式上傳到指定的 Amazon S3 儲存貯體中。可以使用 Amazon S3 精選和亞馬 Amazon Athena 查詢數據,並且可以編目以便使用 ETL AWS Glue。 資料可以載入到 OpenSearch 服務中,或由任何 Amazon EventBridge 目標處理。

  • CloudWatch 記錄目的地 — JSON 呼叫記錄事件會傳送至 CloudWatch 記錄檔中指定的記錄群組。記錄事件包含叫用中繼資料,以及大小不超過 100 KB 的輸入和輸出JSON主體。如果提供用於大型資料交付的 Amazon S3 位置,則二進位資料或大於 100 KB 的JSON主體會以資料前綴上傳到 Amazon S3 儲存貯體。您可以使用 CloudWatch 日誌洞察查詢資料,並且可以使用日誌進一步即時串流到各種服務。 CloudWatch

模型叫用記錄 API

您可以使用下列方式設定模型叫用記錄:APIs