Monitorare l’invocazione di un modello utilizzando CloudWatch Logs e Amazon S3 - Amazon Bedrock
Configurazione di una destinazione Amazon S3Configurare una destinazione CloudWatch LogsRegistrazione di log delle invocazioni dei modelli tramite la consoleRegistrazione di log delle invocazioni dei modelli tramite l’API

Monitorare l’invocazione di un modello utilizzando CloudWatch Logs e Amazon S3

È possibile utilizzare la registrazione di log delle invocazioni dei modelli per raccogliere i log di invocazione, i dati di input dei modelli e i dati di output dei modelli per tutte le invocazioni nell’Account AWS utilizzato in Amazon Bedrock in una Regione.

Con la registrazione di log delle invocazioni puoi raccogliere tutti i dati della richiesta, i dati della risposta e i metadati associati a tutte le chiamate eseguite nel tuo account in una Regione. La registrazione di log può essere configurata per fornire le risorse di destinazione in cui verranno pubblicati i dati di log. Le destinazioni supportate includono i File di log Amazon CloudWatch e Amazon Simple Storage Service (Amazon S3). Sono supportate solo le destinazioni dello stesso account e della stessa Regione.

Per impostazione predefinita, la registrazione di log delle invocazioni dei modelli è disabilitata. Dopo aver abilitato la registrazione di log delle invocazioni dei modelli, i log vengono archiviati fino all’eliminazione della configurazione della registrazione di log.

Le seguenti operazioni possono registrare i log delle invocazioni dei modelli.

Quando utilizzi l’API Converse, viene eseguita la registrazione di log di tutti i dati di immagine o documento che trasmetti in Amazon S3 (se hai abilitato la consegna e la registrazione di log delle immagini in Amazon S3).

Prima di poter abilitare la registrazione di log delle invocazioni, devi configurare una destinazione Amazon S3 o CloudWatch Logs. Puoi abilitare la registrazione di log delle invocazioni tramite la console o l'API.

Configurazione di una destinazione Amazon S3

Nota

Quando si utilizza Amazon S3 come destinazione di registrazione di log, il bucket deve essere creato nella stessa Regione AWS in cui crei la configurazione di registrazione di log delle invocazioni dei modelli.

Puoi configurare una destinazione S3 per la registrazione di log in Amazon Bedrock seguendo questi passaggi:

  1. Crea un bucket S3 in cui verranno recapitati i log.

  2. Aggiungi una policy del bucket come quella riportata di seguito (sostituisci i valori per accountId, region, bucketName e facoltativamente prefix):

    Nota

    Una policy del bucket viene associata automaticamente al bucket per conto tuo quando configuri la registrazione di log con le autorizzazioni S3:GetBucketPolicy e S3:PutBucketPolicy.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AmazonBedrockLogsWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketName/prefix/AWSLogs/123456789012/BedrockModelInvocationLogs/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:*"
                }
            }
        }
    ]
}

  3. (Facoltativo) Se configuri SSE-KMS sul bucket, aggiungi la seguente policy alla chiave KMS:

    {
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
    }
}

Per ulteriori informazioni sulle configurazioni SSE-KMS di S3, consulta Specifica della crittografia KMS.

Nota

L'ACL del bucket deve essere disabilitata affinché la policy del bucket abbia effetto. Per ulteriori informazioni, consulta Disabilitare le ACL per tutti i nuovi bucket e applicare Object Ownership.

Configurare una destinazione CloudWatch Logs

Puoi configurare una destinazione dei File di log Amazon CloudWatch per la registrazione di log in Amazon Bedrock seguendo questi passaggi:

  1. Crea un gruppo di log CloudWatch in cui verranno pubblicati i log.

  2. Crea un ruolo IAM con le seguenti autorizzazioni per CloudWatch Logs.

    Entità attendibile:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:*"
                }
            }
        }
    ]
}

    Policy del ruolo:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:us-east-1:123456789012:log-group:logGroupName:log-stream:aws/bedrock/modelinvocations"
        }
    ]
}

Per ulteriori informazioni sulla configurazione di SSE per CloudWatch Logs, consulta Crittografia dei dati di registro in CloudWatch Logs utilizzando AWS Key Management Service.

Registrazione di log delle invocazioni dei modelli tramite la console

Per abilitare la registrazione di log delle invocazioni dei modelli, trascina il cursore accanto all'interruttore Logging nella pagina Impostazioni. Nel pannello verranno visualizzate altre impostazioni di configurazione per la registrazione di log.

Scegli quali richieste e risposte dei dati pubblicare nei log. Puoi anche scegliere una combinazione qualsiasi delle seguenti opzioni di output:

  • Testo

  • Immagine

  • Incorporamento

Scegli dove pubblicare i log:

  • Solo Amazon S3

  • Solo CloudWatch Logs

  • Amazon S3 e CloudWatch Logs

Le destinazioni Amazon S3 e CloudWatch Logs sono supportate per log di invocazione e dati di input e output di dimensioni ridotte. Per dati di input e output di grandi dimensioni o per gli output di immagini binarie, è supportato solo Amazon S3. I seguenti dettagli riassumono il modo in cui i dati verranno rappresentati nella posizione di destinazione.

  • Destinazione S3: i file JSON compressi con Gzip, ciascuno contenente un batch di record del log delle invocazioni, vengono consegnati al bucket S3 specificato. Come accade per un evento CloudWatch Logs, ogni record conterrà i metadati di invocazione e il testo JSON di input e output con dimensione massima di 100 KB. I dati binari o il testo JSON con dimensioni superiori a 100 KB verranno caricati come singoli oggetti nel bucket Amazon S3 specificato con il prefisso "data". I dati possono essere interrogati utilizzando Amazon S3 Select e Amazon Athena e possono essere catalogati per ETL utilizzando AWS Glue. I dati possono essere caricati nel servizio OpenSearch o elaborati da qualsiasi destinazione Amazon EventBridge.

  • Destinazione CloudWatch Logs: gli eventi del log delle invocazioni JSON vengono consegnati a un gruppo di log specificato in CloudWatch Logs. L'evento di log contiene i metadati di invocazione e il testo JSON di input e output con dimensione massima di 100 KB. Se viene fornita una posizione Amazon S3 per la distribuzione di grandi quantità di dati, nel bucket Amazon S3 verranno invece caricati dati binari o testi JSON di dimensioni superiori a 100 KB con il prefisso "data". I dati possono essere interrogati utilizzando CloudWatch Logs Insights e possono essere ulteriormente trasmessi a vari servizi in tempo reale mediante CloudWatch Logs.

Registrazione di log delle invocazioni dei modelli tramite l’API

La registrazione di log delle invocazioni dei modelli può essere configurata utilizzando le seguenti API: