Surveillez l'invocation du modèle à l'aide de CloudWatch Logs et d'Amazon S3 - Amazon Bedrock
Configuration d'une destination Amazon S3Configurer une destination CloudWatch LogsJournalisation des invocations de modèle à l’aide de la consoleJournalisation des invocations de modèle à l’aide de l’API

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Surveillez l'invocation du modèle à l'aide de CloudWatch Logs et d'Amazon S3

Vous pouvez utiliser le modèle de journalisation des invocations pour collecter les journaux des appels, les données d'entrée du modèle et les données de sortie du modèle pour toutes les invocations que vous utilisez dans Amazon Compte AWS Bedrock dans une région.

Grâce à la journalisation des invocations, vous pouvez collecter l’intégralité des données de demande, les données de réponse et les métadonnées associées à tous les appels effectués sur votre compte dans une région. La journalisation peut être configurée pour fournir les ressources de destination où les données de journal seront publiées. Les destinations prises en charge incluent Amazon CloudWatch Logs et Amazon Simple Storage Service (Amazon S3). Seules les destinations du même compte et de la même région sont possibles.

La journalisation des invocations de modèle est désactivée par défaut. Une fois la journalisation des invocations du modèle activée, les journaux sont stockés jusqu’à ce que la configuration de journalisation soit supprimée.

Les opérations suivantes peuvent enregistrer les invocations de modèles.

Lors de l’utilisation de l’API Converse, toutes les données d’image ou de document que vous transmettez sont enregistrées dans Amazon S3 (si vous avez activé la livraison et l’enregistrement des images dans Amazon S3).

Avant de pouvoir activer la journalisation des appels, vous devez configurer une destination Amazon S3 ou CloudWatch Logs. Vous pouvez activer la journalisation des invocations via la console ou l'API.

Configuration d'une destination Amazon S3

Note

Lorsque vous utilisez Amazon S3 comme destination de journalisation, le compartiment doit être créé de la même manière Région AWS que celui dans lequel vous créez la configuration de journalisation des appels du modèle.

Pour configurer une destination S3 pour la journalisation dans Amazon Bedrock, procédez comme suit :

  1. Créez un compartiment S3 dans lequel les journaux seront envoyés.

  2. Ajoutez-y une politique de compartiment comme celle ci-dessous (remplacez les valeurs pour accountIdregion,bucketName, et éventuellementprefix) :

    Note

    Une politique de compartiment est automatiquement attachée au compartiment en votre nom lorsque vous configurez la journalisation avec les autorisations S3:GetBucketPolicy et S3:PutBucketPolicy.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AmazonBedrockLogsWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketName/prefix/AWSLogs/123456789012/BedrockModelInvocationLogs/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:*"
                }
            }
        }
    ]
}

  3. (Facultatif) Si vous configurez SSE-KMS sur le compartiment, ajoutez la politique ci-dessous au niveau de la clé KMS :

    {
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
    }
}

Pour plus d'informations sur les configurations S3 SSE-KMS, consultez la section Spécification du chiffrement KMS.

Note

La liste ACL du compartiment doit être désactivée pour que la politique de compartiment prenne effet. Pour plus d'informations, consultez les sections Désactivation de tous ACLs les nouveaux compartiments et renforcement de la propriété des objets.

Configurer une destination CloudWatch Logs

Vous pouvez configurer une destination Amazon CloudWatch Logs pour vous connecter à Amazon Bedrock en suivant les étapes suivantes :

  1. Créez un CloudWatch groupe de journaux dans lequel les journaux seront publiés.

  2. Créez un rôle IAM avec les autorisations suivantes pour les CloudWatch journaux.

    Entité de confiance :

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:*"
                }
            }
        }
    ]
}

    Politique de rôle :

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:us-east-1:123456789012:log-group:logGroupName:log-stream:aws/bedrock/modelinvocations"
        }
    ]
}

Pour plus d'informations sur la configuration de SSE pour les CloudWatch journaux, voir Chiffrer les données des CloudWatch journaux dans les journaux à l'aide AWS Key Management Service de.

Journalisation des invocations de modèle à l’aide de la console

Pour activer la journalisation des appels de modèles

Connectez-vous au AWS Management Console avec une identité IAM autorisée à utiliser la console Amazon Bedrock. Ouvrez ensuite la console Amazon Bedrock à l'adresse https://console.aws.amazon.com/bedrock.

  1. Dans le volet de navigation de gauche, sélectionnez Paramètres.

  2. Sur la page de journalisation des appels du modèle, sélectionnez le modèle de journalisation des appels. Des paramètres de configuration supplémentaires pour la journalisation apparaîtront.

  3. Sélectionnez les modalités des demandes de données et des réponses que vous souhaitez publier dans les journaux. Vous pouvez sélectionner n'importe quelle combinaison des options de sortie suivantes :

    • Texte

    • Image

    • Intégration

    • Vidéo

    Note

    Les données seront enregistrées pour tous les modèles compatibles avec les modalités (que ce soit en entrée ou en sortie) que vous avez choisies. Par exemple, si vous sélectionnez Image, l'invocation du modèle sera enregistrée pour tous les modèles qui prennent en charge l'entrée d'image, la sortie d'image, ou les deux.

  4. Sélectionnez l'endroit où vous souhaitez publier les journaux :

    • Amazon S3 uniquement

    • CloudWatch Logs uniquement

    • Amazon S3 et CloudWatch Logs

Destinations de journalisation

Les destinations Amazon S3 et CloudWatch Logs sont prises en charge pour les journaux d'invocation et les petites données d'entrée et de sortie. Pour les données d'entrée et de sortie volumineuses ou les sorties d'images binaires, seul Amazon S3 est pris en charge. Les informations suivantes synthétisent la manière dont les données sont représentées dans l’emplacement cible.

  • Destination S3 : les fichiers JSON compressés, contenant chacun un lot d'enregistrements du journal des invocations, sont envoyés dans le compartiment S3 spécifié. Comme dans le cas d'un événement CloudWatch Logs, chaque enregistrement contiendra les métadonnées d'appel, ainsi que des corps JSON d'entrée et de sortie d'une taille maximale de 100 Ko. Les données binaires ou les corps JSON dont la taille est supérieure à 100 Ko sont chargés sous forme d'objets individuels dans le compartiment Amazon S3 spécifié sous le préfixe de données. Les données peuvent être interrogées à l'aide d'Amazon S3 Select et d'Amazon Athena, et peuvent être cataloguées pour l'ETL à l'aide d'AWS Glue. Les données peuvent être chargées dans le OpenSearch service ou traitées par n'importe quelle EventBridge cible Amazon.

  • CloudWatch Destination des journaux : les événements du journal d'appel JSON sont transmis à un groupe de CloudWatch journaux spécifié dans Logs. L'événement du journal contient les métadonnées d'invocation, ainsi que les corps JSON d'entrée et de sortie dont la taille ne dépasse pas 100 Ko. Si un emplacement Amazon S3 est fourni pour la diffusion de données volumineuses, les données binaires ou les corps JSON supérieurs à 100 Ko seront plutôt chargés dans le compartiment Amazon S3 sous le préfixe de données. Les données peuvent être interrogées à l'aide de CloudWatch Logs Insights, puis diffusées vers divers services en temps réel à l'aide de Logs. CloudWatch

Journalisation des invocations de modèle à l’aide de l’API

Le modèle de journalisation des appels peut être configuré comme suit : APIs