Monitora la chiamata del modello utilizzando CloudWatch Logs e Amazon S3 - Amazon Bedrock
Configurazione di una destinazione Amazon S3Configura una destinazione per i log CloudWatch Registrazione di log delle invocazioni dei modelli tramite la consoleRegistrazione di log delle invocazioni dei modelli tramite l’API

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Monitora la chiamata del modello utilizzando CloudWatch Logs e Amazon S3

Puoi utilizzare la registrazione delle chiamate del modello per raccogliere registri delle chiamate, dati di input del modello e dati di output del modello per tutte le chiamate Account AWS utilizzate in Amazon Bedrock in una regione.

Con la registrazione di log delle invocazioni puoi raccogliere tutti i dati della richiesta, i dati della risposta e i metadati associati a tutte le chiamate eseguite nel tuo account in una Regione. La registrazione di log può essere configurata per fornire le risorse di destinazione in cui verranno pubblicati i dati di log. Le destinazioni supportate includono Amazon CloudWatch Logs e Amazon Simple Storage Service (Amazon S3). Sono supportate solo le destinazioni dello stesso account e della stessa Regione.

Per impostazione predefinita, la registrazione di log delle invocazioni dei modelli è disabilitata. Dopo aver abilitato la registrazione di log delle invocazioni dei modelli, i log vengono archiviati fino all’eliminazione della configurazione della registrazione di log.

Le seguenti operazioni possono registrare i log delle invocazioni dei modelli.

Quando utilizzi l’API Converse, viene eseguita la registrazione di log di tutti i dati di immagine o documento che trasmetti in Amazon S3 (se hai abilitato la consegna e la registrazione di log delle immagini in Amazon S3).

Prima di poter abilitare la registrazione delle chiamate, devi configurare una destinazione Amazon S3 o Logs. CloudWatch Puoi abilitare la registrazione di log delle invocazioni tramite la console o l'API.

Configurazione di una destinazione Amazon S3

Nota

Quando si utilizza Amazon S3 come destinazione di registrazione, il bucket deve essere creato nello stesso modo in cui si crea la Regione AWS configurazione di registrazione delle invocazioni del modello.

Puoi configurare una destinazione S3 per la registrazione di log in Amazon Bedrock seguendo questi passaggi:

  1. Crea un bucket S3 in cui verranno recapitati i log.

  2. Aggiungi una policy bucket come quella riportata di seguito (sostituisci i valori peraccountId, e facoltativamente): region bucketName prefix

    Nota

    Una policy del bucket viene associata automaticamente al bucket per conto tuo quando configuri la registrazione di log con le autorizzazioni S3:GetBucketPolicy e S3:PutBucketPolicy.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AmazonBedrockLogsWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketName/prefix/AWSLogs/123456789012/BedrockModelInvocationLogs/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:*"
                }
            }
        }
    ]
}

  3. (Facoltativo) Se configuri SSE-KMS sul bucket, aggiungi la seguente policy alla chiave KMS:

    {
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
    }
}

Per ulteriori informazioni sulle configurazioni SSE-KMS di S3, consulta Specifica della crittografia KMS.

Nota

L'ACL del bucket deve essere disabilitata affinché la policy del bucket abbia effetto. Per ulteriori informazioni, consulta Disabilitazione ACLs per tutti i nuovi bucket e applicazione della proprietà degli oggetti.

Configura una destinazione per i log CloudWatch

Puoi configurare una destinazione Amazon CloudWatch Logs per l'accesso ad Amazon Bedrock con i seguenti passaggi:

  1. Crea un gruppo di CloudWatch log in cui verranno pubblicati i log.

  2. Crea un ruolo IAM con le seguenti autorizzazioni per CloudWatch i registri.

    Entità attendibile:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:*"
                }
            }
        }
    ]
}

    Policy del ruolo:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:us-east-1:123456789012:log-group:logGroupName:log-stream:aws/bedrock/modelinvocations"
        }
    ]
}

Per ulteriori informazioni sulla configurazione di SSE per i registri, consulta Crittografare i dati di registro in CloudWatch Logs using. CloudWatch AWS Key Management Service

Registrazione di log delle invocazioni dei modelli tramite la console

Per abilitare la registrazione delle invocazioni dei modelli

Accedi a Console di gestione AWS con un'identità IAM che dispone delle autorizzazioni per utilizzare la console Amazon Bedrock. Quindi, apri la console Amazon Bedrock in https://console.aws.amazon.com/bedrock.

  1. Dal riquadro di navigazione a sinistra, seleziona Impostazioni.

  2. Nella pagina di registrazione delle chiamate del modello, selezionate Registrazione delle chiamate del modello. Verranno visualizzate impostazioni di configurazione aggiuntive per la registrazione.

  3. Seleziona le modalità delle richieste e delle risposte di dati che desideri pubblicare nei log. È possibile selezionare qualsiasi combinazione delle seguenti opzioni di output:

    • Testo

    • Immagine

    • Embedding

    • Video

    Nota

    I dati verranno registrati per tutti i modelli che supportano le modalità (di input o output) scelte. Ad esempio, se selezionate Immagine, l'invocazione del modello verrà registrata per tutti i modelli che supportano l'input, l'output dell'immagine o entrambi.

  4. Seleziona dove pubblicare i log:

    • Solo Amazon S3

    • CloudWatch Solo registri

    • Sia Amazon S3 che Logs CloudWatch

Destinazioni di registrazione

Le destinazioni Amazon S3 e CloudWatch Logs sono supportate per log di invocazione e piccoli dati di input e output. Per dati di input e output di grandi dimensioni o per gli output di immagini binarie, è supportato solo Amazon S3. I seguenti dettagli riassumono il modo in cui i dati verranno rappresentati nella posizione di destinazione.

  • Destinazione S3: i file JSON compressi con Gzip, ciascuno contenente un batch di record del log delle invocazioni, vengono consegnati al bucket S3 specificato. Analogamente a un evento CloudWatch Logs, ogni record conterrà i metadati di invocazione e corpi JSON di input e output di dimensioni fino a 100 KB. I dati binari o il testo JSON con dimensioni superiori a 100 KB verranno caricati come singoli oggetti nel bucket Amazon S3 specificato con il prefisso "data". I dati possono essere interrogati utilizzando Amazon S3 Select e Amazon Athena e possono essere catalogati per ETL utilizzando AWS Glue. I dati possono essere caricati in OpenSearch servizio o elaborati da qualsiasi EventBridge destinazione Amazon.

  • CloudWatch Destinazione dei log: gli eventi del registro delle chiamate JSON vengono consegnati a un gruppo di log specificato in Logs. CloudWatch L'evento di log contiene i metadati di invocazione e il testo JSON di input e output con dimensione massima di 100 KB. Se viene fornita una posizione Amazon S3 per la distribuzione di grandi quantità di dati, nel bucket Amazon S3 verranno invece caricati dati binari o corpi JSON di dimensioni superiori a 100 KB con il prefisso data. I dati possono essere interrogati utilizzando CloudWatch Logs Insights e possono essere ulteriormente trasmessi a vari servizi in tempo reale utilizzando Logs. CloudWatch

Registrazione di log delle invocazioni dei modelli tramite l’API

APIsLa registrazione delle chiamate del modello può essere configurata utilizzando quanto segue: