翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Monitor Amazon Bedrock API calls using CloudTrail
Amazon Bedrock は AWS CloudTrail、Amazon Bedrock のユーザー、ロール、または のサービスによって実行されたアクションを記録する AWS サービスである と統合されています。CloudTrail は、Amazon Bedrock へのすべての API コールをイベントとしてキャプチャします。キャプチャされるコールには、Amazon Bedrock コンソールからのコールと、Amazon Bedrock API オペレーションへのコードコールが含まれます。証跡を作成する場合は、Amazon Bedrock のイベントなど、Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。
証跡を設定しない場合でも、CloudTrail コンソールの **[イベント履歴]** で最近のイベントを表示できます。
CloudTrail により収集された情報を使用して、Amazon Bedrock に対して行われたリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエストが行われた日時、および追加の詳細を特定することができます。
CloudTrail の詳細については、「[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)」を参照してください。
## CloudTrail 内の Amazon Bedrock 情報
CloudTrail は、アカウントの作成 AWS アカウント 時に で有効になります。Amazon Bedrock でアクティビティが発生すると、そのアクティビティはイベント**履歴**の他の AWS サービスイベントとともに CloudTrail イベントに記録されます。で最近のイベントを表示、検索、ダウンロードできます AWS アカウント。詳細については、「[CloudTrail イベント履歴でのイベントの表示](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)」を参照してください。
Amazon Bedrock のイベントなど AWS アカウント、 のイベントの継続的な記録については、証跡を作成します。*証跡*により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべての AWS リージョンに適用されます。証跡は、 AWS パーティション内のすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、CloudTrail ログで収集されたイベントデータをさらに分析して処理するように他の AWS サービスを設定できます。詳細については、次を参照してください:
+ [追跡を作成するための概要](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail がサポートされているサービスと統合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ 「[CloudTrail の Amazon SNS 通知の設定](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)」
+ [CloudTrail ログファイルを複数のリージョンから受け取る](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)、[複数のアカウントから CloudTrail ログファイルを受け取る](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。アイデンティティ情報は、以下を判別するのに役立ちます。
+ リクエストがルートまたは AWS Identity and Access Management (IAM) ユーザー認証情報を使用して行われたかどうか。
+ リクエストがロールまたはフェデレーションユーザーのテンポラリなセキュリティ認証情報を使用して行われたかどうか。
+ リクエストが別の AWS サービスによって行われたかどうか。
詳細については、「[CloudTrail userIdentity エレメント](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)」を参照してください。
## CloudTrail の Amazon Bedrock データイベント
[データイベント](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events)では、リソース上またはリソース内で実行されるリソースオペレーション (Amazon S3 オブジェクトの読み取りまたは書き込みなど) についての情報が得られます。これらのイベントは、データプレーンオペレーションとも呼ばれます。データイベントは多くの場合、高ボリュームのアクティビティであり、デフォルトでは CloudTrail によってログ記録されません。
Amazon Bedrock は、一部の [Amazon Bedrock Runtime API オペレーション](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock_Runtime.html) (`InvokeModel`、`InvokeModelWithResponseStream`、`Converse`、`ConverseStream`、および `ListAsyncInvokes`) を[管理イベント](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events)としてログに記録します。
Amazon Bedrock は、他の [Amazon Bedrock Runtime API オペレーション](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock_Runtime.html) (`InvokeModelWithBidirectionalStream`、`GetAsyncInvoke`、および `StartAsyncInvokes`) を管理イベントとしてログに記録します。
Amazon Bedrock は、すべての [Amazon Bedrock エージェントランタイム API オペレーション](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock_Runtime.html) (`InvokeAgent` や `InvokeInlineAgent` など) アクションをデータイベントとして CloudTrail のログに記録します。
+ [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_InvokeAgent.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_InvokeAgent.html) 呼び出しをログに記録するには、`AWS::Bedrock::AgentAlias` リソースタイプのデータイベントを記録するように高度なイベントセレクタを設定します。
+ [https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent-runtime_InvokeInlineAgent.html](https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent-runtime_InvokeInlineAgent.html) 呼び出しをログに記録するには、`AWS::Bedrock::InlineAgent` リソースタイプのデータイベントを記録するように高度なイベントセレクタを設定します。
+ [InvokeModelWithBidirectionalStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModelWithBidirectionalStream.html) 呼び出しをログに記録するには、`AWS::Bedrock::Model` リソースタイプと `AWS:Bedrock::AsyncInvoke` のデータイベントを記録するように高度なイベントセレクターを設定します。
+ [GetAsyncInvoke](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_GetAsyncInvoke.html) 呼び出しと [StartAsyncInvoke](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_StartAsyncInvoke.html) 呼び出しをログに記録するには、`AWS::Bedrock::Model` リソースタイプと `AWS:Bedrock::AsyncInvoke` のデータイベントを記録するように高度なイベントセレクターを設定します。
+ [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html) 呼び出しと [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html) 呼び出しをログに記録するには、`AWS::Bedrock::KnowledgeBase` リソースタイプのデータイベントを記録するように高度なイベントセレクターを設定します。
+ [InvokeAgent](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_InvokeFlow.html) の呼び出しをログ記録するには、`AWS::Bedrock::FlowAlias` リソースタイプのデータイベントを記録するように高度なイベントセレクタを設定します。
+ `RenderPrompt` 呼び出しをログに記録するには、`AWS::Bedrock::Prompt` リソースタイプのデータイベントを記録するように高度なイベントセレクターを設定します。`RenderPrompt` は、モデル呼び出し (`InvokeModel(WithResponseStream)` および `Converse(Stream)`) 用に、[[プロンプト管理]](prompt-management.md) を使用して作成されたプロンプトをレンダリングする、アクセス許可のみの[アクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions)です。
CloudTrail コンソールから、**[データイベントタイプ]** として **[Bedrock エージェントエイリアス]** または **[Bedrock ナレッジベース]**を選択します。さらに、カスタムログセレクタテンプレートを選択することで、`eventName` および `resources.ARN` フィールドをフィルタリングすることもできます。詳細については、「 [AWS マネジメントコンソールを使用したデータイベントのログ記録](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html)」を参照してください。
から AWS CLI、 `resource.type` 値を `AWS::Bedrock::AgentAlias`、、または に設定`AWS::Bedrock::FlowAlias`し`AWS::Bedrock::KnowledgeBase`、 を `eventCategory`に設定します`Data`。詳細については、「[AWS CLIでのデータイベントのログ記録](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#creating-data-event-selectors-with-the-AWS-CLI)」を参照してください。
次の例では、 AWS CLIのすべての Amazon Bedrock リソースタイプに関する Amazon Bedrock データイベントをすべてログ記録する証跡を設定する方法を示します。
```
aws cloudtrail put-event-selectors --trail-name trailName \
--advanced-event-selectors \
'[
{
"Name": "Log all data events on an alias of an agent in Amazon Bedrock.",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::Bedrock::AgentAlias"] }
]
},
{
"Name": "Log all data events on a knowledge base in Amazon Bedrock.",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::Bedrock::KnowledgeBase"] }
]
},
{
"Name": "Log all data events on a flow in Amazon Bedrock.",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::Bedrock::FlowAlias"] }
]
}
{
"Name": "Log all data events on a guardrail in Amazon Bedrock.",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::Bedrock::Guardrail"] }
]
}
]'
```
さらに、`eventName` および `resources.ARN` フィールドをフィルタリングすることもできます。フィールドの詳細については、「[https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html)」を参照してください。
追加の変更がイベントデータに適用されます。CloudTrail の料金の詳細については、「[AWS CloudTrail の料金](https://aws.amazon.com/cloudtrail/pricing/)」を参照してください。
## CloudTrail の Amazon Bedrock 管理イベント
[管理イベント](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events)は、 AWS アカウントのリソースで実行される管理オペレーションに関する情報を提供します。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。CloudTrail は、デフォルトで管理イベント API オペレーションをログ記録します。
Amazon Bedrock は、[Amazon Bedrock Runtime API オペレーション](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock_Runtime.html) (`InvokeModel`、`InvokeModelWithResponseStream`、`Converse` および `ConverseStream`) を[管理イベント](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events)としてログに記録します。
Amazon Bedrock は、残りの Amazon Bedrock API オペレーションを管理イベントとしてログ記録します。Amazon Bedrock が CloudTrail にログ記録する Amazon Bedrock API オペレーションのリストについては、「Amazon Bedrock API リファレンス」の次のページをご覧ください。
+ [Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock.html)
+ [Amazon Bedrock エージェント](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock.html)
+ [Amazon Bedrock エージェントランタイム](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock_Runtime.html)
+ [Amazon Bedrock ランタイム](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock_Runtime.html)
[Amazon Bedrock API オペレーション](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock.html)と [Agents for Amazon Bedrock API オペレーション](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock.html)はすべて CloudTrail によってログ記録されます。これらのオペレーションは、「[Amazon Bedrock API リファレンス](https://docs.aws.amazon.com/bedrock/latest/APIReference/)」で説明されています。たとえば、`InvokeModel`、`StopModelCustomizationJob`、`CreateAgent` の各アクションを呼び出すと、CloudTrail ログファイルにエントリが生成されます。
[Amazon GuardDuty](https://aws.amazon.com/guardduty/) は CloudTrail 管理とイベントログを継続的に監視および分析して、潜在的なセキュリティ問題を検出します。 AWS アカウントの Amazon GuardDuty を有効にすると、CloudTrail ログの分析が自動的に開始され、ユーザーが新しい場所からログインしたり、Amazon Bedrock APIs を使用して Amazon Bedrock ガードレールを削除したり、モデルトレーニングデータの Amazon S3 バケットセットを変更したりするなど、Amazon Bedrock APIs で疑わしいアクティビティが検出されます。
## Amazon Bedrock ログファイルエントリの概要
「トレイル」は、指定した Amazon S3 バケットにイベントをログファイルとして配信するように設定できます。CloudTrail のログファイルは、単一か複数のログエントリを含みます。イベントは、任意の出典からの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストパラメータなどに関する情報が含まれます。CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。
以下の例は、`InvokeModel` アクションを示す CloudTrail ログエントリです。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AROAICFHPEXAMPLE",
"arn": "arn:aws:iam::111122223333:user/userxyz",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "userxyz"
},
"eventTime": "2023-10-11T21:58:59Z",
"eventSource": "bedrock.amazonaws.com",
"eventName": "InvokeModel",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Boto3/1.28.62 md/Botocore#1.31.62 ua/2.0 os/macos#22.6.0 md/arch#arm64 lang/python#3.9.6 md/pyimpl#CPython cfg/retry-mode#legacy Botocore/1.31.62",
"requestParameters": {
"modelId": "stability.stable-diffusion-xl-v0"
},
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 ",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "cipher suite",
"clientProvidedHostHeader": "bedrock-runtime.us-west-2.amazonaws.com"
}
}
```