Monitora la chiamata del modello utilizzando CloudWatch Logs e Amazon S3 - Amazon Bedrock
Configurazione di una destinazione Amazon S3Configura una destinazione per i log CloudWatch Modella la registrazione delle chiamate utilizzando la consoleModella la registrazione delle chiamate utilizzando l'API

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Monitora la chiamata del modello utilizzando CloudWatch Logs e Amazon S3

Puoi utilizzare la registrazione delle chiamate del modello per raccogliere registri delle chiamate, dati di input del modello e dati di output del modello per tutte le chiamate Account AWS utilizzate in Amazon Bedrock in una regione.

Con la registrazione delle chiamate, puoi raccogliere i dati completi delle richieste, i dati di risposta e i metadati associati a tutte le chiamate eseguite nel tuo account in una regione. La registrazione di log può essere configurata per fornire le risorse di destinazione in cui verranno pubblicati i dati di log. Le destinazioni supportate includono Amazon CloudWatch Logs e Amazon Simple Storage Service (Amazon S3). Sono supportate solo le destinazioni dello stesso account e della stessa regione.

La registrazione delle chiamate del modello è disabilitata per impostazione predefinita. Dopo aver abilitato la registrazione delle chiamate del modello, i registri vengono archiviati fino all'eliminazione della configurazione di registrazione.

Le seguenti operazioni possono registrare le invocazioni del modello.

Quando utilizzi l'ConverseAPI, tutti i dati di immagine o documento che trasmetti vengono registrati in Amazon S3 (se hai abilitato la consegna e la registrazione delle immagini in Amazon S3).

Prima di poter abilitare la registrazione delle chiamate, devi configurare una destinazione Amazon S3 o Logs. CloudWatch Puoi abilitare la registrazione di log delle invocazioni tramite la console o l'API.

Configurazione di una destinazione Amazon S3

Nota

Quando si utilizza Amazon S3 come destinazione di registrazione, il bucket deve essere creato nello stesso modo in cui si crea la Regione AWS configurazione di registrazione delle invocazioni del modello.

Puoi configurare una destinazione S3 per la registrazione di log in Amazon Bedrock seguendo questi passaggi:

  1. Crea un bucket S3 in cui verranno recapitati i log.

  2. Aggiungi una policy bucket come quella riportata di seguito (sostituisci i valori peraccountId, e facoltativamente): region bucketName prefix

    Nota

    Una policy del bucket viene associata automaticamente al bucket per conto tuo quando configuri la registrazione di log con le autorizzazioni S3:GetBucketPolicy e S3:PutBucketPolicy.

    JSON
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonBedrockLogsWrite",
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": [
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucketName/prefix/AWSLogs/accountId/BedrockModelInvocationLogs/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
      }
    }
  ]
}

  3. (Facoltativo) Se configuri SSE-KMS sul bucket, aggiungi la seguente policy alla chiave KMS:

    {
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
    }
}

Per ulteriori informazioni sulle configurazioni SSE-KMS di S3, consulta Specifica della crittografia KMS.

Nota

L'ACL del bucket deve essere disabilitata affinché la policy del bucket abbia effetto. Per ulteriori informazioni, consulta Disabilitazione ACLs per tutti i nuovi bucket e applicazione della proprietà degli oggetti.

Configura una destinazione per i log CloudWatch

Puoi configurare una destinazione Amazon CloudWatch Logs per l'accesso ad Amazon Bedrock con i seguenti passaggi:

  1. Crea un gruppo di CloudWatch log in cui verranno pubblicati i log.

  2. Crea un ruolo IAM con le seguenti autorizzazioni per CloudWatch i registri.

    Entità attendibile:

    JSON
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
      }
    }
  ]
}

    Policy del ruolo:

    JSON
    {
    "Version": "2012-10-17", 
    "Statement": [ 
        {
            "Effect": "Allow", 
            "Action": [ 
                "logs:CreateLogStream", 
                "logs:PutLogEvents" 
            ], 
            "Resource": "arn:aws:logs:region:accountId:log-group:logGroupName:log-stream:aws/bedrock/modelinvocations" 
         } 
    ]
}

Per ulteriori informazioni sulla configurazione di SSE per i registri, consulta Crittografare i dati di registro in CloudWatch Logs using. CloudWatch AWS Key Management Service

Modella la registrazione delle chiamate utilizzando la console

Per abilitare la registrazione di log delle invocazioni dei modelli, trascina il cursore accanto all'interruttore Logging nella pagina Impostazioni. Nel pannello verranno visualizzate altre impostazioni di configurazione per la registrazione di log.

Scegli quali richieste e risposte dei dati pubblicare nei log. Puoi anche scegliere una combinazione qualsiasi delle seguenti opzioni di output:

  • Testo

  • Immagine

  • Incorporamento

Scegli dove pubblicare i log:

  • Solo Amazon S3

  • CloudWatch Solo registri

  • Amazon S3 e Logs CloudWatch

Le destinazioni Amazon S3 e CloudWatch Logs sono supportate per log di invocazione e piccoli dati di input e output. Per dati di input e output di grandi dimensioni o per gli output di immagini binarie, è supportato solo Amazon S3. I seguenti dettagli riassumono il modo in cui i dati verranno rappresentati nella posizione di destinazione.

  • Destinazione S3: i file JSON compressi con Gzip, ciascuno contenente un batch di record del log delle invocazioni, vengono consegnati al bucket S3 specificato. Analogamente a un evento CloudWatch Logs, ogni record conterrà i metadati di invocazione e corpi JSON di input e output di dimensioni fino a 100 KB. I dati binari o il testo JSON con dimensioni superiori a 100 KB verranno caricati come singoli oggetti nel bucket Amazon S3 specificato con il prefisso "data". I dati possono essere interrogati utilizzando Amazon S3 Select e Amazon Athena e possono essere catalogati per ETL utilizzando AWS Glue. I dati possono essere caricati in OpenSearch servizio o elaborati da qualsiasi EventBridge destinazione Amazon.

  • CloudWatch Destinazione dei log: gli eventi del registro delle chiamate JSON vengono consegnati a un gruppo di log specificato in Logs. CloudWatch L'evento di log contiene i metadati di invocazione e il testo JSON di input e output con dimensione massima di 100 KB. Se viene fornita una posizione Amazon S3 per la distribuzione di grandi quantità di dati, nel bucket Amazon S3 verranno invece caricati dati binari o corpi JSON di dimensioni superiori a 100 KB con il prefisso data. I dati possono essere interrogati utilizzando CloudWatch Logs Insights e possono essere ulteriormente trasmessi a vari servizi in tempo reale utilizzando Logs. CloudWatch

Modella la registrazione delle chiamate utilizzando l'API

La registrazione delle chiamate del modello può essere configurata utilizzando quanto segue: APIs