Surveillez l'invocation du modèle à l'aide de CloudWatch Logs et d'Amazon S3 - Amazon Bedrock
Configuration d'une destination Amazon S3Configurer une destination CloudWatch LogsModèle de journalisation des invocations à l'aide de la consoleModèle de journalisation des invocations à l'aide de l'API

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Surveillez l'invocation du modèle à l'aide de CloudWatch Logs et d'Amazon S3

Vous pouvez utiliser le modèle de journalisation des invocations pour collecter les journaux des appels, les données d'entrée du modèle et les données de sortie du modèle pour toutes les invocations que vous utilisez dans Amazon Compte AWS Bedrock dans une région.

Grâce à la journalisation des appels, vous pouvez collecter l'intégralité des données de demande, des données de réponse et des métadonnées associées à tous les appels effectués sur votre compte dans une région. La journalisation peut être configurée pour fournir les ressources de destination où les données de journal seront publiées. Les destinations prises en charge incluent Amazon CloudWatch Logs et Amazon Simple Storage Service (Amazon S3). Seules les destinations associées au même compte et à la même région sont prises en charge.

La journalisation des appels du modèle est désactivée par défaut. Une fois que la journalisation des appels du modèle est activée, les journaux sont stockés jusqu'à ce que la configuration de journalisation soit supprimée.

Les opérations suivantes peuvent enregistrer les appels de modèles.

Lorsque vous utilisez l'ConverseAPI, toutes les données d'image ou de document que vous transmettez sont enregistrées dans Amazon S3 (si vous avez activé la livraison et l'enregistrement des images dans Amazon S3).

Avant de pouvoir activer la journalisation des appels, vous devez configurer une destination Amazon S3 ou CloudWatch Logs. Vous pouvez activer la journalisation des invocations via la console ou l'API.

Configuration d'une destination Amazon S3

Pour configurer une destination S3 pour la journalisation dans Amazon Bedrock, procédez comme suit :

  1. Créez un compartiment S3 dans lequel les journaux seront envoyés.

  2. Ajoutez-y une politique de compartiment comme celle ci-dessous (remplacez les valeurs pour accountIdregion,bucketName, et éventuellementprefix) :

    Note

    Une politique de compartiment est automatiquement attachée au compartiment en votre nom lorsque vous configurez la journalisation avec les autorisations S3:GetBucketPolicy et S3:PutBucketPolicy.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonBedrockLogsWrite",
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": [
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucketName/prefix/AWSLogs/accountId/BedrockModelInvocationLogs/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
      }
    }
  ]
}

  3. (Facultatif) Si vous configurez SSE-KMS sur le compartiment, ajoutez la politique ci-dessous au niveau de la clé KMS :

    {
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
    }
}

Pour plus d'informations sur les configurations S3 SSE-KMS, consultez la section Spécification du chiffrement KMS.

Note

La liste ACL du compartiment doit être désactivée pour que la politique de compartiment prenne effet. Pour plus d'informations, consultez les sections Désactivation de tous ACLs les nouveaux compartiments et renforcement de la propriété des objets.

Configurer une destination CloudWatch Logs

Vous pouvez configurer une destination Amazon CloudWatch Logs pour vous connecter à Amazon Bedrock en suivant les étapes suivantes :

  1. Créez un CloudWatch groupe de journaux dans lequel les journaux seront publiés.

  2. Créez un rôle IAM avec les autorisations suivantes pour les CloudWatch journaux.

    Entité de confiance :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
      }
    }
  ]
}

    Politique de rôle :

    {
    "Version": "2012-10-17", 
    "Statement": [ 
        {
            "Effect": "Allow", 
            "Action": [ 
                "logs:CreateLogStream", 
                "logs:PutLogEvents" 
            ], 
            "Resource": "arn:aws:logs:region:accountId:log-group:logGroupName:log-stream:aws/bedrock/modelinvocations" 
         } 
    ]
}

Pour plus d'informations sur la configuration de SSE pour les CloudWatch journaux, voir Chiffrer les données des CloudWatch journaux dans les journaux à l'aide AWS Key Management Service de.

Modèle de journalisation des invocations à l'aide de la console

Pour activer la journalisation des invocations de modèle, faites glisser le curseur situé à côté du bouton Journalisation sur la page Paramètres. Des paramètres de configuration supplémentaires pour la journalisation s'affichent dans le panneau.

Choisissez les demandes de données et les réponses que vous souhaitez publier dans les journaux. Vous pouvez choisir n'importe quelle combinaison parmi les options de sortie suivantes :

  • Texte

  • Image

  • Intégration

Choisissez où publier les journaux :

  • Amazon S3 uniquement

  • CloudWatch Logs uniquement

  • Amazon S3 et CloudWatch Logs

Les destinations Amazon S3 et CloudWatch Logs sont prises en charge pour les journaux d'invocation et les petites données d'entrée et de sortie. Pour les données d'entrée et de sortie volumineuses ou les sorties d'images binaires, seul Amazon S3 est pris en charge. Les informations suivantes résument la manière dont les données sont représentées dans l'emplacement cible.

  • Destination S3 : les fichiers JSON compressés, contenant chacun un lot d'enregistrements du journal des invocations, sont envoyés dans le compartiment S3 spécifié. Comme dans le cas d'un événement CloudWatch Logs, chaque enregistrement contiendra les métadonnées d'appel, ainsi que des corps JSON d'entrée et de sortie d'une taille maximale de 100 Ko. Les données binaires ou les corps JSON dont la taille est supérieure à 100 Ko sont chargés sous forme d'objets individuels dans le compartiment Amazon S3 spécifié sous le préfixe de données. Les données peuvent être interrogées à l'aide d'Amazon S3 Select et d'Amazon Athena, et peuvent être cataloguées pour l'ETL à l'aide d' AWS Glue. Les données peuvent être chargées dans le OpenSearch service ou traitées par n'importe quelle EventBridge cible Amazon.

  • CloudWatch Destination des journaux : les événements du journal d'appel JSON sont transmis à un groupe de CloudWatch journaux spécifié dans Logs. L'événement du journal contient les métadonnées d'invocation, ainsi que les corps JSON d'entrée et de sortie dont la taille ne dépasse pas 100 Ko. Si un emplacement Amazon S3 est fourni pour la diffusion de données volumineuses, les données binaires ou les corps JSON supérieurs à 100 Ko seront plutôt chargés dans le compartiment Amazon S3 sous le préfixe de données. Les données peuvent être interrogées à l'aide de CloudWatch Logs Insights, puis diffusées vers divers services en temps réel à l'aide de Logs. CloudWatch

Modèle de journalisation des invocations à l'aide de l'API

Le modèle de journalisation des appels peut être configuré comme suit : APIs