Monitore a invocação do modelo usando CloudWatch Logs e Amazon S3 - Amazon Bedrock
Configurar um destino do Amazon S3Configurar um destino CloudWatch de registrosRegistro em log da invocação de modelos usando o consoleRegistro em log da invocação de modelos usando a API

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Monitore a invocação do modelo usando CloudWatch Logs e Amazon S3

Você pode usar o registro de invocação do modelo para coletar registros de invocação, dados de entrada do modelo e dados de saída do modelo para todas as invocações usadas no Amazon Bedrock Conta da AWS em uma região.

Com o registro em log de invocações, é possível coletar todos os dados de solicitação, dados de resposta e metadados associados a todas as chamadas executadas em sua conta em uma região. O registro pode ser configurado para fornecer os recursos de destino nos quais os dados de log serão publicados. Os destinos compatíveis incluem Amazon CloudWatch Logs e Amazon Simple Storage Service (Amazon S3). Somente destinos na mesma conta e região são permitidos.

O registro em log de invocação do modelo está desabilitado por padrão. Depois que o registro em log de invocações do modelo é habilitado, os logs são armazenados até que a configuração de registro em log seja excluída.

As operações a seguir podem registrar em log as invocações do modelo.

Ao usar a API Converse, todos os dados de documento ou de imagem que você transmite são registrados em log no Amazon S3 (se você tiver habilitado a entrega e o registro em log de imagens no Amazon S3).

Antes de habilitar o registro de invocações, você precisa configurar um destino Amazon S3 CloudWatch ou Logs. É possível habilitar o log de invocação por meio do console ou da API.

Configurar um destino do Amazon S3

nota

Ao usar o Amazon S3 como um destino de registro, o bucket precisa ser criado da Região da AWS mesma forma que aquele em que você está criando a configuração de registro de invocação do modelo.

É possível configurar um destino do S3 para fazer login no Amazon Bedrock com estas etapas:

  1. Crie um bucket do S3 no qual os logs serão entregues.

  2. Adicione uma política de bucket como a mostrada abaixo (substitua valores poraccountId, regionbucketName, e opcionalmenteprefix):

    nota

    Uma política de bucket é automaticamente anexada ao bucket em seu nome quando você configura o registro em log com as permissões S3:GetBucketPolicy e S3:PutBucketPolicy.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AmazonBedrockLogsWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucketName/prefix/AWSLogs/123456789012/BedrockModelInvocationLogs/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:*"
                }
            }
        }
    ]
}

  3. (Opcional) Se estiver configurando o SSE-KMS no bucket, adicione a política abaixo na chave KMS:

    {
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
    }
}

Para obter mais informações sobre as configurações SSE-KMS do S3, consulte Especificar a criptografia do KMS.

nota

A ACL do bucket deve ser desativada para que a política do bucket entre em vigor. Para obter mais informações, consulte Desativação de todos ACLs os novos buckets e imposição da propriedade de objetos.

Configurar um destino CloudWatch de registros

Você pode configurar um destino do Amazon CloudWatch Logs para fazer login no Amazon Bedrock com as seguintes etapas:

  1. Crie um grupo de CloudWatch registros onde os registros serão publicados.

  2. Crie uma função do IAM com as seguintes permissões para CloudWatch Logs.

    Entidade confiável:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "bedrock.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:*"
                }
            }
        }
    ]
}

    Política da função:

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:us-east-1:123456789012:log-group:logGroupName:log-stream:aws/bedrock/modelinvocations"
        }
    ]
}

Para obter mais informações sobre como configurar o SSE para CloudWatch registros, consulte Criptografar dados de registro em CloudWatch registros usando AWS Key Management Service.

Registro em log da invocação de modelos usando o console

Para habilitar o registro de invocação do modelo

Faça login no Console de gerenciamento da AWS com uma identidade do IAM que tenha permissões para usar o console Amazon Bedrock. Em seguida, abra o console Amazon Bedrock em https://console.aws.amazon.com/bedrock.

  1. No painel de navegação esquerdo, selecione Configurações.

  2. Na página Registro de invocação de modelo, selecione Registro de invocação de modelo. Configurações adicionais para registro serão exibidas.

  3. Selecione as modalidades das solicitações e respostas de dados que você deseja publicar nos registros. Você pode selecionar qualquer combinação das seguintes opções de saída:

    • Texto

    • Imagem

    • Incorporação

    • Vídeo

    nota

    Os dados serão registrados para todos os modelos que suportam as modalidades (seja como entrada ou saída) que você escolher. Por exemplo, se você selecionar Imagem, a invocação do modelo será registrada para todos os modelos que suportam entrada de imagem, saída de imagem ou ambas.

  4. Selecione onde publicar os registros:

    • Somente Amazon S3

    • CloudWatch Somente registros

    • Tanto o Amazon S3 quanto o Logs CloudWatch

Destinos de logs

Os destinos Amazon S3 e CloudWatch Logs são compatíveis com registros de invocação e pequenos dados de entrada e saída. Para grandes dados de entrada e saída ou de saídas de imagens binárias, somente o Amazon S3 é compatível. Os detalhes a seguir resumem como os dados serão representados no local de destino.

  • Destino do S3: arquivos JSON compactados em gzip, cada um contendo um lote de registros de log de invocação, são entregues ao bucket do S3 especificado. Semelhante a um evento CloudWatch Logs, cada registro conterá os metadados de invocação e corpos JSON de entrada e saída de até 100 KB de tamanho. Dados binários ou corpos JSON maiores que 100 KB serão carregados como objetos individuais no bucket do Amazon S3 especificado sob o prefixo de dados. Os dados podem ser consultados usando o Amazon S3 Select e o Amazon Athena e podem ser catalogados para uso de ETL. AWS Glue Os dados podem ser carregados no OpenSearch serviço ou processados por qualquer EventBridge destino da Amazon.

  • CloudWatch Destino dos registros — os eventos do registro de invocação JSON são entregues a um grupo de registros especificado em Logs. CloudWatch O evento de logs contém os metadados de invocação e corpos JSON de entrada e saída de até 100 KB. Se um local do Amazon S3 para entrega de grandes dados for fornecido, dados binários ou corpos JSON maiores que 100 KB serão enviados para o bucket do Amazon S3 com o prefixo de dados. Em vez disso, os dados podem ser consultados usando o CloudWatch Logs Insights e podem ser transmitidos posteriormente para vários serviços em tempo real usando o Logs. CloudWatch

Registro em log da invocação de modelos usando a API

O registro de invocação do modelo pode ser configurado usando o seguinte: APIs