本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 可觀測性
Amazon Bedrock 中的可觀測性可協助您追蹤效能、管理資源和自動化部署。
**Topics**
+ [監控 Amazon Bedrock 的效能](monitoring.md)
+ [標記 Amazon Bedrock 資源](tagging.md)
# 監控 Amazon Bedrock 的效能
您可以使用 Amazon CloudWatch 監控 Amazon Bedrock 的所有部分,其會收集原始資料,並將該資料處理成可讀且近乎即時的指標。使用 CloudWatch 主控台繪製指標圖。您也可以設定留意特定閾值的警示,當超出這些閾值時傳送通知或採取動作。
如需詳細資訊,請參閱《*Amazon CloudWatch 使用者指南*》中的[什麼是 Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html)。
Amazon Bedrock 提供應用程式不同元件的完整監控功能:
+ [使用 CloudWatch Logs 和 Amazon S3 監控模型調用](model-invocation-logging.md) - 使用 CloudWatch Logs 和 Amazon S3 追蹤和分析模型調用。
+ [使用 CloudWatch Logs 監控知識庫](knowledge-bases-logging.md) - 監控知識庫操作和效能。
+ [使用 CloudWatch 指標監控 Amazon Bedrock 防護機制](monitoring-guardrails-cw-metrics.md) - 追蹤護欄評估和政策強制執行。
+ [使用 CloudWatch 指標監控 Amazon Bedrock 代理人](monitoring-agents-cw-metrics.md) - 監控客服人員叫用和效能指標。
+ [Amazon Bedrock 執行時期指標](#runtime-cloudwatch-metrics) - 檢視金鑰執行時間指標,包括調用、延遲、錯誤和字符計數。
+ [使用 Amazon EventBridge 監控 Amazon Bedrock 任務狀態變更監控事件變更](monitoring-eventbridge.md) - 追蹤任務狀態變更,並自動回應事件。
+ [使用 CloudTrail 監控 Amazon Bedrock API 呼叫](logging-using-cloudtrail.md) - 稽核 API 呼叫並追蹤使用者活動。
**Topics**
+ [使用 CloudWatch Logs 和 Amazon S3 監控模型調用](model-invocation-logging.md)
+ [使用 CloudWatch Logs 監控知識庫](knowledge-bases-logging.md)
+ [使用 CloudWatch 指標監控 Amazon Bedrock 防護機制](monitoring-guardrails-cw-metrics.md)
+ [使用 CloudWatch 指標監控 Amazon Bedrock 代理人](monitoring-agents-cw-metrics.md)
+ [Amazon Bedrock 執行時期指標](#runtime-cloudwatch-metrics)
+ [適用於 Amazon Bedrock 的 CloudWatch 指標](#br-cloudwatch-metrics)
+ [使用 Amazon EventBridge 監控 Amazon Bedrock 任務狀態變更](monitoring-eventbridge.md)
+ [使用 CloudTrail 監控 Amazon Bedrock API 呼叫](logging-using-cloudtrail.md)
# 使用 CloudWatch Logs 和 Amazon S3 監控模型調用
您可以使用模型調用記錄來收集調用日誌、模型輸入資料,以及 區域中在 Amazon Bedrock AWS 帳戶 中使用的所有調用模型輸出資料。
透過調用記錄功能,您可以收集完整的請求資料、回應資料,以及與區域中帳戶中執行的所有呼叫相關聯的中繼資料。您可以設定記錄功能,以提供將發佈日誌資料的目的地資源。支援的目的地包括 Amazon CloudWatch Logs 和 Amazon Simple Storage Service (Amazon S3)。僅支援來自相同帳戶和區域的目的地。
模型調用記錄預設為停用。啟用模型調用記錄後,系統會儲存日誌直到記錄組態刪除為止。
下列操作可以記錄模型調用。
+ [Converse](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html)
+ [ConverseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_ConverseStream.html)
+ [InvokeModel](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModel.html)
+ [InvokeModelWithResponseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModelWithResponseStream.html)
[使用 Converse API](conversation-inference-call.md) 時,您交付的任何影像或文件資料都會記錄在 Amazon S3 中 (如果您已在 Amazon S3 中[啟用](#model-invocation-logging-console)交付和影像記錄)。
您必須先設定 Amazon S3 或 CloudWatch Logs 目的地,才能啟用調用記錄。您可以透過主控台或 API 啟用調用記錄。
**Topics**
+ [設定 Amazon S3 目的地](#setup-s3-destination)
+ [設定 CloudWatch Logs 目的地](#setup-cloudwatch-logs-destination)
+ [使用主控台的模型調用記錄](#model-invocation-logging-console)
+ [使用 API 的模型調用記錄](#using-apis-logging)
## 設定 Amazon S3 目的地
**注意**
使用 Amazon S3 做為記錄目的地時,需要在與您建立模型調用記錄組態的儲存貯體 AWS 區域 相同的 中建立儲存貯體。
您可以透過下列步驟設定 S3 目的地,以便在 Amazon Bedrock 中登入:
1. 建立要將日誌傳送至的 S3 儲存貯體。
1. 新增儲存貯體政策,如下所示 (取代 *accountId*、*region*、*bucketName* 的值,以及選擇性 *prefix* 的值):
**注意**
當您使用權限 `S3:GetBucketPolicy` 和 `S3:PutBucketPolicy` 設定記錄時,儲存貯體政策會代表您自動連接至儲存貯體。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AmazonBedrockLogsWrite",
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": [
"s3:PutObject"
],
"Resource": [
"arn:aws:s3:::bucketName/prefix/AWSLogs/123456789012/BedrockModelInvocationLogs/*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:*"
}
}
}
]
}
```
------
1. (選用) 如果在儲存貯體上設定 SSE-KMS,請在 KMS 金鑰上新增下列政策:
```
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "kms:GenerateDataKey",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "accountId"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
}
}
}
```
如需 S3 SSE-KMS 組態的詳細資訊,請參閱[指定 KMS 加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/specifying-kms-encryption.html)。
**注意**
儲存貯體 ACL 必須停用,儲存貯體政策才會生效。如需詳細資訊,請參閱[停用所有新儲存貯體的 ACL 並強制執行「物件擁有權」](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ensure-object-ownership.html)。
## 設定 CloudWatch Logs 目的地
您可以按照下列步驟設定 Amazon CloudWatch Logs 目的地,以便在 Amazon Bedrock 中進行記錄:
1. 建立要將日誌發佈至的 CloudWatch 日誌群組。
1. 建立具備下列 CloudWatch Logs 許可的 IAM 角色。
**信任實體**:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "bedrock.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:bedrock:us-east-1:123456789012:*"
}
}
}
]
}
```
------
**角色政策**:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:us-east-1:123456789012:log-group:logGroupName:log-stream:aws/bedrock/modelinvocations"
}
]
}
```
------
如需設定適用於 CloudWatch Logs 的 SSE 的詳細資訊,請參閱[使用 AWS Key Management Service加密 CloudWatch Logs 中的日誌資料](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html)。
## 使用主控台的模型調用記錄
**啟用模型調用記錄**
AWS 管理主控台 使用具有使用 Amazon Bedrock 主控台之許可的 IAM 身分登入 。接著,開啟位於 [https://console.aws.amazon.com/bedrock](https://console.aws.amazon.com/bedrock) 的 Amazon Bedrock 主控台。
1. 從左側導覽窗格中,選取**設定**。
1. 在**模型調用記錄**頁面中,選取**模型調用記錄**。記錄的其他組態設定將會出現。
1. 選取您要發佈至日誌的資料請求和回應模式。您可以選取下列輸出選項的任意組合:
+ 文字
+ 影像
+ 內嵌項目
+ 影片
**注意**
系統會針對支援您選擇的模態 (無論做為輸入或輸出) *的所有*模型記錄資料。例如,如果您選取**影像**,則會記錄支援影像輸入、影像輸出或兩者的所有模型的模型調用。
1. 選取要發佈日誌的位置:
+ 僅限 Amazon S3
+ 僅限 CloudWatch Logs
+ Amazon S3 和 CloudWatch Logs
**記錄目的地**
Amazon S3 和 CloudWatch Logs 目的地支援調用日誌,以及小型輸入和輸出資料。對於大型輸入和輸出資料或二進位映像輸出,僅支援 Amazon S3。下列詳細資訊摘要如何在目標位置中呈現資料。
+ **S3 目的地** — 壓縮的 JSON 檔案 (每個檔案都包含一批調用日誌記錄) 會傳送到指定的 S3 儲存貯體。與 CloudWatch Logs 事件類似,每筆記錄都包含調用中繼資料,以及大小不超過 100 KB 的輸入和輸出 JSON 主體。大於 100 KB 的二進位資料或 JSON 主體,會以個別物件形式上傳到指定的 Amazon S3 儲存貯體的資料字首下。可以使用 Amazon S3 Select 和 Amazon Athena 查詢資料,並且可以使用 AWS Glue為 ETL 編目。這些資料可以載入到 OpenSearch 服務,也可以由任何 Amazon EventBridge 目標處理。
+ **CloudWatch Logs 目的地** — JSON 調用日誌事件會傳送至 CloudWatch Logs 中的指定日誌群組。日誌事件包含調用中繼資料,以及大小不超過 100 KB 的輸入和輸出 JSON 主體。如果提供用於大型資料交付的 Amazon S3 位置,則大於 100 KB 的二進位資料或 JSON 主體將改為上傳至資料字首下的 Amazon S3 儲存貯體。您可以使用 CloudWatch Logs Insights 來查詢資料,並且可以使用 CloudWatch Logs 進一步即時串流到各種服務。
## 使用 API 的模型調用記錄
您可以使用下列 API 來設定模型調用記錄:
+ [PutModelInvocationLoggingConfiguration](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_PutModelInvocationLoggingConfiguration.html)
+ [GetModelInvocationLoggingConfiguration](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_GetModelInvocationLoggingConfiguration.html)
+ [DeleteModelInvocationLoggingConfiguration](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_DeleteModelInvocationLoggingConfiguration.html)
# 使用 CloudWatch Logs 監控知識庫
Amazon Bedrock 支援監控系統,協助您了解針對知識庫執行的任何資料擷取任務。下列各節說明如何使用 和 CloudWatch API 啟用 AWS 管理主控台 和設定 Amazon Bedrock 知識庫的記錄系統。您可以使用此記錄系統,深入了解知識庫資源的資料擷取。
## 使用主控台記錄知識庫
若要使用 AWS 管理主控台啟用 Amazon Bedrock 知識庫的記錄:
1. **建立知識庫**:使用 AWS 管理主控台 適用於 Amazon Bedrock 的 [建立新的知識庫](https://docs.aws.amazon.com/bedrock/latest/userguide/knowledge-base-create.html)。
1. **新增日誌交付選項**:建立知識庫之後,編輯或更新知識庫以新增日誌交付選項。
**注意**
使用結構化資料存放區或 Kendra GenAI 指數建立知識庫時,不支援日誌交付。
**設定日誌交付詳細資訊**:輸入日誌交付的詳細資訊,包括:
+ 記錄目的地 (CloudWatch Logs、Amazon S3、Amazon Data Firehose)
+ (如果使用 CloudWatch Logs 作為記錄目的地) 日誌群組名稱
+ (如果使用 Amazon S3 作為記錄目的地) 儲存貯體名稱
+ (如果使用 Amazon Data Firehose 作為記錄目的地) Firehose 串流
1. **包含存取許可**:登入主控台的使用者必須擁有必要的許可,才能將收集到的日誌寫入所選的目的地。
下列範例 IAM 政策可以連接至登入主控台的使用者,以便在使用 CloudWatch Logs 時授予必要的許可
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "logs:CreateDelivery",
"Resource": [
"arn:aws:logs:us-east-1:123456789012:delivery-source:*",
"arn:aws:logs:us-east-1:123456789012:delivery:*",
"arn:aws:logs:us-east-1:123456789012:delivery-destination:*"
]
}
]
}
```
------
1. **確認交付狀態**:確認主控台中的日誌交付狀態為「交付作用中」。
## 使用 CloudWatch API 記錄知識庫
若要使用 CloudWatch API 啟用 Amazon Bedrock 知識庫的記錄:
1. **取得知識庫的 ARN**:使用 Amazon Bedrock API 或 Amazon Bedrock 主控台[建立知識庫](https://docs.aws.amazon.com/bedrock/latest/userguide/knowledge-base-create.html)之後,請取得知識庫的 Amazon Resource Name。您可以呼叫 [GetKnowledgeBase](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_GetKnowledgeBase.html) API 來取得 Amazon Resource Name。知識庫 Amazon Resource Name 遵循以下格式:*arn:aws:bedrock:your-region:your-account-id:knowledge-base/knowledge-base-id*
1. **呼叫 `PutDeliverySource`**:使用 Amazon CloudWatch 提供的 [PutDeliverySource](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliverySource.html) API 來建立知識庫的交付來源。傳遞知識庫 Amazon Resource Name 作為 `resourceArn`。`logType` 會將 `APPLICATION_LOGS` 指定為收集的日誌類型。`APPLICATION_LOGS` 會在擷取任務期間追蹤檔案的目前狀態。
```
{
"logType": "APPLICATION_LOGS",
"name": "my-knowledge-base-delivery-source",
"resourceArn": "arn:aws:bedrock:your-region:your-account-id:knowledge-base/knowledge_base_id"
}
```
1. **呼叫 `PutDeliveryDestination`**:使用 Amazon CloudWatch 提供的 [PutDeliveryDestination](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_PutDeliveryDestination.html) API 來設定日誌存放的位置。您可以選擇 CloudWatch Logs、Amazon S3 或 Amazon Data Firehose 作為儲存日誌的目的地。您必須指定日誌存放位置其中一個目的地選項的 Amazon Resource Name。您可以選擇日誌的 `outputFormat` 作為下列其中一項:`json`、`plain`、`w3c`、`raw`、`parquet`。以下是將日誌設定為以 Amazon S3 儲存貯體和 JSON 格式存放的範例。
```
{
"deliveryDestinationConfiguration": {
"destinationResourceArn": "arn:aws:s3:::bucket-name"
},
"name": "string",
"outputFormat": "json",
"tags": {
"key" : "value"
}
}
```
請注意,如果您要跨帳戶交付日誌,您必須使用 `PutDeliveryDestinationPolicy` API 將 AWS Identity and Access Management (IAM) 政策指派給目的地帳戶。IAM 政策允許從一個帳戶交付到另一個帳戶。
1. **呼叫 `CreateDelivery`**:使用 [CreateDelivery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateDelivery.html) API 呼叫,將交付來源連結至您在先前步驟中建立的目的地。此 API 操作會將交付來源與最終目的地建立關聯。
```
{
"deliveryDestinationArn": "string",
"deliverySourceName": "string",
"tags": {
"string" : "string"
}
}
```
**注意**
如果您想要使用 CloudFormation,您可以使用下列項目:
[Delivery](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-logs-delivery.html)
[DeliveryDestination](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-logs-deliverydestination.html)
[DeliverySource](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-logs-deliverysource.html)
`ResourceArn` 是 `KnowledgeBaseARN`,且 `LogType` 必須是 `APPLICATION_LOGS` 作為支援的日誌類型。
## 支援的日誌類型
Amazon Bedrock 知識庫支援下列日誌類型:
+ `APPLICATION_LOGS`:在資料擷取任務期間追蹤特定檔案目前狀態的日誌。
## 使用者許可和限制
若要啟用 Amazon Bedrock 知識庫的記錄,登入主控台的使用者帳戶需要下列許可:
1. `bedrock:AllowVendedLogDeliveryForResource` – 允許針對知識庫資源交付的日誌時需要。
您可以檢視範例 IAM 角色/許可政策,其中包含特定記錄目的地的所有必要許可。請參閱[不同交付目的地的付費日誌許可](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-vended-logs-permissions-V2),並遵循記錄目的地的 IAM 角色/許可政策範例,包括允許更新特定記錄目的地資源 (無論 CloudWatch Logs、Amazon S3 或 Amazon Data Firehose)。
您也可以在 [CloudWatch Logs 服務配額文件](https://docs.aws.amazon.com/general/latest/gr/cwl_region.html)中檢查 CloudWatch Logs 交付相關 API 呼叫是否有任何配額限制。配額限制會設定您可以呼叫 API 或建立資源的次數上限。如果您超過限制,將導致 `ServiceQuotaExceededException` 錯誤。
## 知識庫日誌的範例
Amazon Bedrock 知識庫有資料擷取層級日誌和資源層級日誌。
以下是資料擷取任務日誌的範例。
```
{
"event_timestamp": 1718683433639,
"event": {
"ingestion_job_id": "",
"data_source_id": "",
"ingestion_job_status": "INGESTION_JOB_STARTED" | "STOPPED" | "COMPLETE" | "FAILED" | "CRAWLING_COMPLETED"
"knowledge_base_arn": "arn:aws:bedrock:::knowledge-base/",
"resource_statistics": {
"number_of_resources_updated": int,
"number_of_resources_ingested": int,
"number_of_resources_scheduled_for_update": int,
"number_of_resources_scheduled_for_ingestion": int,
"number_of_resources_scheduled_for_metadata_update": int,
"number_of_resources_deleted": int,
"number_of_resources_with_metadata_updated": int,
"number_of_resources_failed": int,
"number_of_resources_scheduled_for_deletion": int
}
},
"event_version": "1.0",
"event_type": "StartIngestionJob.StatusChanged",
"level": "INFO"
}
```
以下是資源層級日誌的範例。
```
{
"event_timestamp": 1718677342332,
"event": {
"ingestion_job_id": "",
"data_source_id": "",
"knowledge_base_arn": "arn:aws:bedrock:::knowledge-base/",
"document_location": {
"type": "S3",
"s3_location": {
"uri": "s3://"
}
},
"status": ""
"status_reasons": String[],
"chunk_statistics": {
"ignored": int,
"created": int,
"deleted": int,
"metadata_updated": int,
"failed_to_create": int,
"failed_to_delete": int,
"failed_to_update_metadata": int
},
},
"event_version": "1.0",
"event_type": "StartIngestionJob.ResourceStatusChanged",
"level": "INFO" | "WARN" | "ERROR"
}
```
資源的 `status` 可以是下列其中一項:
+ `SCHEDULED_FOR_INGESTION`、`SCHEDULED_FOR_DELETION`、`SCHEDULED_FOR_UPDATE`、`SCHEDULED_FOR_METADATA_UPDATE`:這些狀態值表示在計算知識庫目前狀態與資料來源中所做的變更之間的差異後,資源已排程處理。
+ `RESOURCE_IGNORED`:此狀態值表示已忽略資源進行處理,原因在 `status_reasons` 屬性內詳細說明。
+ `EMBEDDING_STARTED` 和 `EMBEDDING_COMPLETED`:這些狀態值表示資源的向量嵌入何時開始和完成。
+ `INDEXING_STARTED` 和 `INDEXING_COMPLETED`:這些狀態值表示資源的索引何時開始和完成。
+ `DELETION_STARTED` 和 `DELETION_COMPLETED`:這些狀態值表示資源的刪除何時開始和完成。
+ `METADATA_UPDATE_STARTED` 和 `METADATA_UPDATE_COMPLETED`:這些狀態值表示資源的中繼資料更新何時開始和完成。
+ `EMBEDDING_FAILED`、`INDEXING_FAILED`、`DELETION_FAILED` 和 `METADATA_UPDATE_FAILED`:這些狀態值表示資源的處理失敗,原因在 `status_reasons` 屬性內詳細說明。
+ `INDEXED`、`DELETED`、`PARTIALLY_INDEXED`、`METADATA_PARTIALLY_INDEXED`、`FAILED`:文件處理完成之後,就會發佈具有文件最終狀態的日誌,以及 `chunk_statistics` 屬性內處理摘要。
## 偵錯知識庫日誌的常見查詢範例
您可以使用查詢與日誌互動。例如,您可以在擷取文件或資料期間,查詢具有事件狀態 `RESOURCE_IGNORED` 的所有文件。
以下是一些常見的查詢,可用於偵錯使用 CloudWatch Logs Insights 產生的日誌:
+ 查詢針對特定 S3 文件產生的所有日誌。
`filter event.document_location.s3_location.uri = "s3:///"`
+ 查詢資料擷取任務期間忽略的所有文件。
`filter event.status = "RESOURCE_IGNORED"`
+ 查詢向量嵌入文件時發生的所有例外狀況。
`filter event.status = "EMBEDDING_FAILED"`
+ 查詢將文件編製索引至向量資料庫時發生的所有例外狀況。
`filter event.status = "INDEXING_FAILED"`
+ 查詢從向量資料庫中刪除文件時發生的所有例外狀況。
`filter event.status = "DELETION_FAILED"`
+ 查詢在向量資料庫中更新文件中繼資料時發生的所有例外狀況。
`filter event.status = "DELETION_FAILED"`
+ 查詢執行資料擷取任務期間發生的所有例外狀況。
`filter level = "ERROR" or level = "WARN"`
# 使用 CloudWatch 指標監控 Amazon Bedrock 防護機制
下表說明 Amazon Bedrock 防護機制提供的執行時期指標,您可以使用 Amazon CloudWatch 指標進行監控。
**執行時期指標**
| 指標名稱 | 單位 | Description |
| --- | --- | --- |
| 調用 | SampleCount | 向 ApplyGuardrail API 操作提出的請求數。 |
| InvocationLatency | 毫秒 | 調用的延遲。 |
| InvocationClientErrors | SampleCount | 導致用戶端錯誤的調用數量。 |
| InvocationServerErrors | SampleCount | 導致 AWS 伺服器端錯誤的叫用次數 |
| InvocationThrottles | SampleCount | 系統限流的調用數量。限流的請求不會計為調用或錯誤。 |
| TextUnitCount | SampleCount | 防護機制政策耗用的文字單位數量 |
| InvocationsIntervened | SampleCount | 防護機制介入的調用數量 |
| FindingCounts | SampleCount | InvokeAutomatedReasoningCheck 中每種調查結果類型的計數 |
| TotalFindings | SampleCount | 計算為每個 InvokeAutomatedReasoningCheck 請求產生的調查結果數量 |
| 調用 | SampleCount | InvokeAutomatedReasoningCheck 的請求數量 |
| 延遲 | 毫秒 | 使用自動推理政策的驗證延遲 |
您可以根據下表在 CloudWatch 主控台中檢視防護機制維度:
**維度**
| 維度名稱 | 維度值 | 適用於下列指標 |
| --- | --- | --- |
| 作業 | ApplyGuardrail | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/monitoring-guardrails-cw-metrics.html) |
| GuardrailContentSource | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/monitoring-guardrails-cw-metrics.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/monitoring-guardrails-cw-metrics.html) |
| GuardrailPolicyType | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/monitoring-guardrails-cw-metrics.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/monitoring-guardrails-cw-metrics.html) |
| GuardrailArn、GuardrailVersion | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/monitoring-guardrails-cw-metrics.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/monitoring-guardrails-cw-metrics.html) |
| FindingType \$1 PolicyArn \$1 PolicyVersion | FindingType \$1 PolicyArn \$1 PolicyVersion | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/monitoring-guardrails-cw-metrics.html) |
| FindingType \$1 GuardrailArn \$1 GuardrailVersion | FindingType \$1 GuardrailArn \$1 GuardrailVersion | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/monitoring-guardrails-cw-metrics.html) |
| PolicyArn \$1 PolicyVersion | PolicyArn \$1 PolicyVersion | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/monitoring-guardrails-cw-metrics.html) |
| GuardrailArn \$1 GuardrailVersion | GuardrailArn \$1 GuardrailVersion | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/monitoring-guardrails-cw-metrics.html) |
**取得防護機制的 CloudWatch 指標**
您可以使用 AWS 管理主控台、 CLI 或 CloudWatch API AWS 取得護欄的指標。您可以透過其中一個 AWS 軟體開發套件 (SDKs) 或 CloudWatch API 工具來使用 CloudWatch API。
CloudWatch 中防護機制的命名空間為 `AWS/Bedrock/Guardrails`。
**注意**
您必須擁有適當的 CloudWatch 許可才能使用 CloudWatch 監控防護機制。如需詳細資訊,請參閱《CloudWatch 使用者指南》中的 [CloudWatch 的身分驗證與存取控制](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/auth-and-access-control-cw.html)。
**在 CloudWatch 主控台中檢視防護機制指標**
1. 登入 AWS 管理主控台,並在 https://https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。
1. 選擇 `AWS/Bedrock/Guardrails` 命名空間。
# 使用 CloudWatch 指標監控 Amazon Bedrock 代理人
下表說明 Amazon Bedrock 代理人提供的執行時期指標,您可以使用 Amazon CloudWatch 指標進行監控。
**執行時期指標**
****
| 指標名稱 | 單位 | Description |
| --- | --- | --- |
| InvocationCount | SampleCount | 向 API 操作提出的請求數。 |
| TotalTime | 毫秒 | 伺服器處理請求所需的時間 |
| TTFT | 毫秒 | Time-to-first-token 指標。為 invokeAgent 或 invokeInlineAgent 請求啟用串流組態時發出 |
| InvocationThrottles | SampleCount | 系統限流的調用數量。限流的請求和其他調用錯誤不會計為調用或錯誤。 |
| InvocationServerErrors | SampleCount | 導致 AWS 伺服器端錯誤的調用次數 |
| InvocationClientErrors | SampleCount | 導致用戶端錯誤的調用數量。 |
| ModelLatency | 毫秒 | 模型的延遲 |
| ModelInvocationCount | SampleCount | 代理程式對模型提出的請求數量 |
| ModelInvocationThrottles | SampleCount | Amazon Bedrock 核心限流的模型調用數量。限流的請求和其他調用錯誤不會計為調用或錯誤。 |
| ModelInvocationClientErrors | SampleCount | 導致用戶端錯誤的模型調用數量。 |
| ModelInvocationServerErrors | SampleCount | 導致 AWS 伺服器端錯誤的模型調用數量 |
| InputTokenCount | SampleCount | 輸入至模型的字符數量。 |
| outputTokenCount | SampleCount | 自模型輸出的字符數量。 |
您可以根據下表在 CloudWatch 主控台中檢視代理程式維度:
**維度**
****
| 維度名稱 | 維度值 | 適用於下列指標 |
| --- | --- | --- |
| 作業 | [InvokeAgent](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_InvokeAgent.html)、[InvokeInlineAgent](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_InvokeInlineAgent.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/monitoring-agents-cw-metrics.html) |
| 操作、ModelId | 在操作維度和任何 Amazon Bedrock 核心模型其 modelId 中列出的任何 Amazon Bedrock 代理人操作 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/monitoring-agents-cw-metrics.html) |
| 操作、AgentAliasArn、ModelId | 在操作維度和任何 Amazon Bedrock 核心模型其任何 modelId 中所列的任何 Amazon Bedrock 代理人操作,依代理程式別名的 agentAliasArn 分組 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/monitoring-agents-cw-metrics.html) |
**為代理程式使用 CloudWatch 指標**
您可以使用 AWS 管理主控台、 CLI 或 CloudWatch API AWS 取得客服人員的指標。您可以透過其中一個 AWS 軟體開發套件 (SDKs) 或 CloudWatch API 工具來使用 CloudWatch API。
CloudWatch 中代理程式指標的命名空間為 `AWS/Bedrock/Agents`。
您必須擁有適當的 CloudWatch 許可才可使用 CloudWatch 來監控代理程式。如需詳細資訊,請參閱《CloudWatch 使用者指南》中的 [CloudWatch 的身分驗證與存取控制](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/auth-and-access-control-cw.html)。
**重要**
如果您不希望 CloudWatch 使用收集的資料來改善 CloudWatch 服務,您可以建立退出政策。如需詳細資訊,請參閱 [AI 服務退出政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out.html)。
如果您在 CloudWatch 儀表板中沒有看到發布的指標,請確定您用來[建立](agents-create.md)代理程式的 IAM 服務角色具有下列政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Resource": "*",
"Action": "cloudwatch:PutMetricData",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/Bedrock/Agents"
}
}
}
}
```
------
## Amazon Bedrock 執行時期指標
下表說明 Amazon Bedrock 提供的執行時期指標。
| 指標名稱 | 單位 | Description |
| --- | --- | --- |
| 調用 | SampleCount | [Converse](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html)、[ConverseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_ConverseStream.html)、[InvokeModel](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModel.html) 和 [InvokeModelWithResponseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModelWithResponseStream.html) API 操作的成功請求數量。 |
| InvocationLatency | 毫秒 | 從傳送請求到收到最後一個字符的時間。 |
| InvocationClientErrors | SampleCount | 導致用戶端錯誤的調用數量。 |
| InvocationServerErrors | SampleCount | 導致 AWS 伺服器端錯誤的調用次數。 |
| InvocationThrottles | SampleCount | 系統限流的調用數量。限流的請求和其他調用錯誤不會計為調用或錯誤。您看到的限流數目取決於 SDK 中的重試設定。如需詳細資訊,請參閱《 AWS SDKs和工具參考指南》中的[重試行為](https://docs.aws.amazon.com/sdkref/latest/guide/feature-retry-behavior.html)。 |
| InputTokenCount | SampleCount | 輸入中的字符數量。 |
| LegacyModelInvocations | SampleCount | 使用[舊版](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_FoundationModelLifecycle.html)模型的調用次數 |
| OutputTokenCount | SampleCount | 輸出中的字符數量。 |
| OutputImageCount | SampleCount | 輸出中的影像數量 (僅適用於影像產生模型)。 |
| TimeToFirstToken | 毫秒 | 針對 [ConverseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_ConverseStream.html) 和 [InvokeModelWithResponseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModelWithResponseStream.html) 串流 API 操作,從請求傳送到收到第一個字符的時間。 |
| EstimatedTPMQuotaUsage | SampleCount | [Converse](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_Converse.html)、[ConverseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_ConverseStream.html)、[InvokeModel](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModel.html) 和 [InvokeModelWithResponseStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModelWithResponseStream.html) API 操作的每分鐘預估字符數 (TPM) 配額消耗。 |
[Amazon Bedrock 防護機制](monitoring-guardrails-cw-metrics.md)和 [Amazon Bedrock 代理人](monitoring-agents-cw-metrics.md)也有指標。
## 適用於 Amazon Bedrock 的 CloudWatch 指標
對於每次傳送成功或失敗嘗試,系統即會在命名空間 `AWS/Bedrock` 和 `Across all model IDs` 維度下發出下列的 Amazon CloudWatch 指標:
+ `ModelInvocationLogsCloudWatchDeliverySuccess`
+ `ModelInvocationLogsCloudWatchDeliveryFailure`
+ `ModelInvocationLogsS3DeliverySuccess`
+ `ModelInvocationLogsS3DeliveryFailure`
+ `ModelInvocationLargeDataS3DeliverySuccess`
+ `ModelInvocationLargeDataS3DeliveryFailure`
若要擷取 Amazon Bedrock 操作的指標,您必須指定下列資訊:
+ 指標維度。*維度*是一組用來識別指標的名稱與數值對。Amazon Bedrock 支援以下維度:
+ `ModelId` – 所有指標
+ `ModelId + ImageSize + BucketedStepSize` – OutputImageCount
+ 指標名稱,例如 `InvocationClientErrors`。
您可以使用 AWS 管理主控台、 AWS CLI或 CloudWatch API 取得 Amazon Bedrock 的指標。您可以透過其中一個 AWS 軟體開發套件 (SDKs) 或 CloudWatch API 工具來使用 CloudWatch API。
若要在 CloudWatch 主控台中檢視 Amazon Bedrock 指標,請前往導覽窗格中的指標區段,然後選取所有指標選項,再搜尋模型 ID。
您必須擁有適當的 CloudWatch 許可來使用 CloudWatch 監控 Amazon Bedrock。如需詳細資訊,請參閱*《Amazon CloudWatch 使用者指南》*中的 [Amazon CloudWatch 的驗證和存取控制](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/auth-and-access-control-cw.html)。
# 使用 Amazon EventBridge 監控 Amazon Bedrock 任務狀態變更
Amazon EventBridge 是一項 AWS 服務,可近乎即時 AWS 地監控來自其他服務的事件。您可以使用 Amazon EventBridge 來監控 Amazon Bedrock 中的事件,並在事件符合您定義的規則時傳送事件資訊。然後,您可以將應用程式設定為自動回應這些事件。Amazon EventBridge 支援在 Amazon Bedrock 中監控下列事件:
+ [模型自訂任務](custom-models.md) – 任務的狀態可在 中的任務詳細資訊 AWS 管理主控台 或 [GetModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_GetModelCustomizationJob.html) 回應中看到。如需詳細資訊,請參閱[監控您的模型自訂任務](model-customization-monitor.md)。
+ [批次推論任務](batch-inference.md) – 任務的狀態會顯示在 中的任務詳細資訊 AWS 管理主控台 或 [GetModelInvocationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_GetModelInvocationJob.html) 回應中。如需詳細資訊,請參閱[監控批次推論任務](batch-inference-monitor.md)。
Amazon Bedrock 會全力發送事件。Amazon Bedrock 的事件會近即時傳送到 Amazon EventBridge。您可以建立觸發程式設計動作以回應事件的規則。使用 Amazon EventBridge,您可以執行下列動作:
+ 每當您提交的任務中存在狀態變更事件時,無論您將來是否會新增非同步工作流程,系統都會發布通知。通知應該會提供足夠的資訊來回應下游工作流程中的事件。
+ 在不調用 Get API 的情況下傳送工作狀態更新,這有助於處理 API 速率限制問題、API 更新,並減少額外的運算資源。
從 Amazon EventBridge 接收 AWS 事件無需付費。如需 Amazon EventBridge 的詳細資訊,請參閱 [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)
**Topics**
+ [Amazon Bedrock 的 EventBridge 運作方式](monitoring-eventbridge-how-it-works.md)
+ [[範例] 建立規則以處理 Amazon Bedrock 狀態變更事件](monitoring-eventbridge-create-rule-ex.md)
# Amazon Bedrock 的 EventBridge 運作方式
Amazon EventBridge 是一種無伺服器事件匯流排,可從 AWS 服務、SaaS 合作夥伴和客戶應用程式擷取狀態變更事件。它會根據您建立的規則或模式處理事件,並將這些事件路由到您選擇的一或多個*目標*,例如 AWS Lambda Amazon Simple Queue Service 和 Amazon Simple Notification Service。您可以根據事件的內容來設定下游工作流程。
在了解如何使用 Amazon EventBridge for Amazon Bedrock 之前,請參閱《Amazon EventBridge 使用者指南》中的下列頁面。
+ [Amazon EventBridge 中的事件匯流排概念](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is-how-it-works-concepts.html) – 檢閱*事件*、*規則*和*目標*的概念。
+ [建立對 Amazon EventBridge 中的事件做出反應的規則](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html) – 了解如何建立規則。
+ [Amazon EventBridge 事件模式](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html) – 了解如何定義事件模式。
+ [Amazon EventBridge 目標](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-targets.html) – 了解您可以傳送事件的目標。
每當您提交的任務狀態發生變更,Amazon Bedrock 即會透過 Amazon EventBridge 發布您的事件。在每一種情況下,都會建立新事件並將其傳送至 Amazon EventBridge,然後將事件傳送到您的預設事件匯流排。此事件會顯示哪些任務的狀態已變更,以及工作的目前狀態。
Amazon Bedrock 事件在事件中是透過 `source` 的值為 `aws.bedrock` 來識別的。Amazon Bedrock 中事件的 `detail-type` 包含下列項目:
+ `Model Customization Job State Change`
+ `Batch Inference Job State Change`
選取索引標籤以查看在 Amazon Bedrock 中提交之任務的範例事件。
------
#### [ Model Customization Job State Change ]
下列 JSON 物件顯示模型自訂任務狀態已變更時的範例事件:
```
{
"version": "0",
"id": "UUID",
"detail-type": "Model Customization Job State Change",
"source": "aws.bedrock",
"account": "123456789012",
"time": "2023-08-11T12:34:56Z",
"region": "us-east-1",
"resources": ["arn:aws:bedrock:us-east-1:123456789012:model-customization-job/abcdefghwxyz"],
"detail": {
"version": "0.0",
"jobName": "abcd-wxyz",
"jobArn": "arn:aws:bedrock:us-east-1:123456789012:model-customization-job/abcdefghwxyz",
"outputModelName": "dummy-output-model-name",
"outputModelArn": "arn:aws:bedrock:us-east-1:123456789012:dummy-output-model-name",
"roleArn": "arn:aws:iam::123456789012:role/JobExecutionRole",
"jobStatus": "Failed",
"failureMessage": "Failure Message here.",
"creationTime": "2023-08-11T10:11:12Z",
"lastModifiedTime": "2023-08-11T12:34:56Z",
"endTime": "2023-08-11T12:34:56Z",
"baseModelArn": "arn:aws:bedrock:us-east-1:123456789012:base-model-name",
"hyperParameters": {
"batchSize": "1",
"epochCount": "5",
"learningRate": "0.05",
"learningRateWarmupSteps": "10"
},
"trainingDataConfig": {
"s3Uri": "s3://bucket/key"
},
"validationDataConfig": {
"s3Uri": "s3://bucket/key"
},
"outputDataConfig": {
"s3Uri": "s3://bucket/key"
}
}
}
```
若要了解模型自訂所特有**詳細資訊**物件中的欄位,請參閱 [GetModelCustomizationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_GetModelCustomizationJob.html)。
------
#### [ Batch Inference Job State Change ]
下列 JSON 物件顯示模型自訂任務狀態已變更時的範例事件:
```
{
"version": "0",
"id": "a1b2c3d4",
"detail-type": "Batch Inference Job State Change",
"source": "aws.bedrock",
"account": "123456789012",
"time": "Wed Aug 28 22:58:30 UTC 2024",
"region": "us-east-1",
"resources": ["arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/abcdefghwxyz"],
"detail": {
"version": "0.0",
"accountId": "123456789012",
"batchJobName": "dummy-batch-job-name",
"batchJobArn": "arn:aws:bedrock:us-east-1:123456789012:model-invocation-job/abcdefghwxyz",
"batchModelId": "arn:aws:bedrock:us-east-1::foundation-model/anthropic.claude-3-sonnet-20240229-v1:0",
"status": "Completed",
"failureMessage": "",
"creationTime": "Aug 28, 2024, 10:47:53 PM"
}
}
```
若要了解批次推論所特有**詳細資訊**物件中的欄位,請參閱 [GetModelInvocationJob](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_GetModelInvocationJob.html)。
------
#### [ Bedrock Data Automation sample event ]
下列 JSON 物件顯示 BDA 處理任務狀態已變更時的範例事件。
```
{
"version": "0",
"id": "0cc3eaf7-dff6-6f67-0ee0-ae572fccfe84",
"detail-type": "Bedrock Data Automation Job Succeeded",
"source": "aws.bedrock",
"account": "123456789012",
"time": "2025-05-27T22:48:36Z",
"region": "us-west-2",
"resources": [],
"detail": {
"job_id": "25010344-03f7-4167-803a-837afdc7ce98",
"job_status": "SUCCESS",
"semantic_modality": "Document",
"input_s3_object": {
"s3_bucket": "input-s3-bucket-name",
"name": "key/name"
},
"output_s3_location": {
"s3_bucket": "output-s3-bucket-name",
"name": "key"
},
"error_message": ""
}
}
```
------
# [範例] 建立規則以處理 Amazon Bedrock 狀態變更事件
本主題中的範例示範如何設定 Amazon Bedrock 狀態變更事件的通知,方法是引導您設定 Amazon Simple Notification Service 主題、訂閱主題,以及在 Amazon EventBridge 中建立規則,以透過主題通知您 Amazon Bedrock 狀態變更。執行以下程序:
1. 若要建立主題,請遵照《Amazon Simple Notification Service 開發人員指南》中[建立 Amazon SNS 主題](https://docs.aws.amazon.com/sns/latest/dg/sns-create-topic.html)的步驟。
1. 若要訂閱您建立的主題,請遵循《Amazon Simple Notification Service 開發人員指南》中[建立 Amazon SNS 主題訂閱](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html)的步驟,或使用 [Amazon SNS 端點](https://docs.aws.amazon.com/general/latest/gr/sns.html)傳送[訂閱](https://docs.aws.amazon.com/sns/latest/api/API_Subscribe.html)請求,並指定您建立之主題的 Amazon Resource Name (ARN)。
1. 若要建立規則,以便在 Amazon Bedrock 中的任務狀態變更時通知您,請遵循[建立對 Amazon EventBridge 中的事件做出反應的規則](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule.html)中的步驟,同時針對此範例考慮下列特定動作:
+ 選擇以使用事件模式定義規則詳細資訊。
+ 當您建置事件模式時,可以執行下列動作:
+ 在**範例事件**區段中檢視範例事件,方法是選取任何 Amazon Bedrock **範例事件**,以了解您在定義模式時 Amazon Bedrock 事件中可供使用的欄位。您也可以在 [Amazon Bedrock 的 EventBridge 運作方式](monitoring-eventbridge-how-it-works.md) 中查看範例事件。
+ 首先從**建立方法**區段中選取**使用模式來源**,然後選擇 Amazon Bedrock 做為 **AWS 服務**和您要擷取的**事件類型**。若要了解如何定義事件模式,請參閱 [Amazon EventBridge 事件模式](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-patterns.html)。
+ 例如,您可以使用下列事件模式來擷取批次推論任務何時完成:
```
{
"source": ["aws.bedrock"],
"detail-type": ["Batch Inference Job State Change"],
"detail": {
"status": ["Completed"]
}
}
```
+ 選取 **SNS 主題**做為目標,然後選擇您建立的主題。
1. 建立規則後,當批次推論任務完成時,系統會透過 Amazon SNS 通知您。
# 使用 CloudTrail 監控 Amazon Bedrock API 呼叫
Amazon Bedrock 已與 服務整合 AWS CloudTrail,此服務提供由 Amazon Bedrock AWS 中的使用者、角色或服務所採取之動作的記錄。CloudTrail 會將 Amazon Bedrock 的所有 API 呼叫擷取為事件。擷取的呼叫包括從 Amazon Bedrock 主控台執行的呼叫,以及對 Amazon Bedrock API 操作發出的程式碼呼叫。如果您建立追蹤,就可以將 CloudTrail 事件持續交付到 Amazon S3 儲存貯體,包括 Amazon Bedrock 的事件。
即使您未設定追蹤,依然可以透過 CloudTrail 主控台中的**事件歷史記錄**檢視最新事件。
您可以利用 CloudTrail 所收集的資訊來判斷向 Amazon Bedrock 發出的請求,以及發出請求的 IP 地址、人員、時間和其他詳細資訊。
若要進一步了解 CloudTrail,請參閱[「AWS CloudTrail 使用者指南」](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)。
## CloudTrail 中的 Amazon Bedrock 資訊
當您建立帳戶 AWS 帳戶 時,您的 上會啟用 CloudTrail。當活動在 Amazon Bedrock 中發生時,該活動會與**事件歷史記錄**中的其他 AWS 服務事件一起記錄在 CloudTrail 事件中。您可以在 中檢視、搜尋和下載最近的事件 AWS 帳戶。如需詳細資訊,請參閱[「使用 CloudTrail 事件歷史記錄檢視事件」](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
若要持續記錄 中的事件 AWS 帳戶,包括 Amazon Bedrock 的事件,請建立追蹤。*線索*能讓 CloudTrail 將日誌檔案交付至 Amazon S3 儲存貯體。依預設,當您在主控台中建立追蹤時,該追蹤會套用至所有的 AWS 區域。線索會記錄 AWS 分割區中所有區域的事件,並將日誌檔案交付至您指定的 Amazon S3 儲存貯體。此外,您可以設定其他 AWS 服務,以進一步分析和處理 CloudTrail 日誌中所收集的事件資料。如需詳細資訊,請參閱下列內容:
+ [建立追蹤的概觀](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 支援的服務和整合](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [設定 CloudTrail 的 Amazon SNS 通知](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [接收多個區域的 CloudTrail 日誌檔案](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)及[接收多個帳戶的 CloudTrail 日誌檔案](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
每一筆事件或日誌專案都會包含產生請求者的資訊。身分資訊可協助您判斷下列事項:
+ 是否使用根或 AWS Identity and Access Management (IAM) 使用者登入資料提出請求。
+ 提出該請求時,是否使用了特定角色或聯合身分使用者的暫時安全憑證。
+ 請求是否由其他 AWS 服務提出。
如需詳細資訊,請參閱 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
## CloudTrail 中的 Amazon Bedrock 資料事件
[資料事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events)提供在資源上或在資源中執行的資源操作的相關資訊 (例如,讀取或寫入 Amazon S3 物件)。這些也稱為資料平面操作。資料事件通常是 CloudTrail 預設情況下不記錄的大量活動。
Amazon Bedrock 會將一些 [Amazon Bedrock 執行時期 API 操作](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock_Runtime.html) (例如 `InvokeModel`、`InvokeModelWithResponseStream`、`Converse`、`ConverseStream` 和 `ListAsyncInvokes`) 記錄為[管理事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events)。
Amazon Bedrock 會將其他 [Amazon Bedrock 執行時期 API 操作](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock_Runtime.html) (例如 `InvokeModelWithBidirectionalStream`、`GetAsyncInvoke` 和 `StartAsyncInvokes`) 記錄為資料事件。
Amazon Bedrock 將所有 [Amazon Bedrock 代理人執行時期 API 操作](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock_Runtime.html) (例如 `InvokeAgent` 和 `InvokeInlineAgent`) 動作記錄到 CloudTrail 作為資料事件。
+ 若要記錄 [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_InvokeAgent.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_InvokeAgent.html) 呼叫,請設定進階事件選取器,以記錄 `AWS::Bedrock::AgentAlias` 資源類型的資料事件。
+ 若要記錄 [https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent-runtime_InvokeInlineAgent.html](https://docs.aws.amazon.com//bedrock/latest/APIReference/API_agent-runtime_InvokeInlineAgent.html) 呼叫,請設定進階事件選取器,以記錄 `AWS::Bedrock::InlineAgent` 資源類型的資料事件。
+ 若要記錄 [InvokeModelWithBidirectionalStream](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_InvokeModelWithBidirectionalStream.html) 呼叫,請設定進階事件選取器,以記錄 `AWS::Bedrock::Model` 資源類型和 `AWS:Bedrock::AsyncInvoke` 的資料事件。
+ 若要記錄 [GetAsyncInvoke](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_GetAsyncInvoke.html) 和 [StartAsyncInvoke](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_runtime_StartAsyncInvoke.html) 呼叫,請設定進階事件選取器,以記錄 `AWS::Bedrock::Model` 資源類型和 `AWS:Bedrock::AsyncInvoke` 的資料事件。
+ 若要記錄 [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_Retrieve.html) 和 [https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_RetrieveAndGenerate.html) 呼叫,請設定進階事件選取器,以記錄 `AWS::Bedrock::KnowledgeBase` 資源類型的資料事件。
+ 若要記錄 [InvokeFlow](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent-runtime_InvokeFlow.html) 呼叫,請設定進階事件選取器,以記錄 `AWS::Bedrock::FlowAlias` 資源類型的資料事件。
+ 若要記錄 `RenderPrompt` 呼叫,請設定進階事件選取器來記錄 `AWS::Bedrock::Prompt` 資源類型的資料事件。`RenderPrompt` 是僅許可[動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonbedrock.html#amazonbedrock-actions-as-permissions),可轉譯使用[提示管理](prompt-management.md)建立的提示,用於模型調用 (`InvokeModel(WithResponseStream)` 和 `Converse(Stream)`)。
在 CloudTrail 主控台,為**資料事件類型**選擇 **Bedrock 代理程式別名**或 **Bedrock 知識庫**。您還可以選擇自訂記錄選取器範本來篩選 `eventName` 和 `resources.ARN` 欄位。如需詳細資訊,請參閱[使用 AWS 管理主控台記錄資料事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html)。
從 中 AWS CLI,將`resource.type`值設定為等於 `AWS::Bedrock::AgentAlias`、 或 `AWS::Bedrock::KnowledgeBase`,`AWS::Bedrock::FlowAlias`並將 設定為`eventCategory`等於 `Data`。如需詳細資訊,請參閱[使用 AWS CLI記錄資料事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#creating-data-event-selectors-with-the-AWS-CLI)。
以下範例展示如何設定線索以在 AWS CLI中針對所有 Amazon Bedrock 資源類型記錄所有的 Amazon Bedrock 資料事件。
```
aws cloudtrail put-event-selectors --trail-name trailName \
--advanced-event-selectors \
'[
{
"Name": "Log all data events on an alias of an agent in Amazon Bedrock.",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::Bedrock::AgentAlias"] }
]
},
{
"Name": "Log all data events on a knowledge base in Amazon Bedrock.",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::Bedrock::KnowledgeBase"] }
]
},
{
"Name": "Log all data events on a flow in Amazon Bedrock.",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::Bedrock::FlowAlias"] }
]
}
{
"Name": "Log all data events on a guardrail in Amazon Bedrock.",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::Bedrock::Guardrail"] }
]
}
]'
```
您還可以在 `eventName` 和 `resources.ARN` 欄位上另外進行篩選。如需有關這些欄位的詳細資訊,請參閱 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html)。
資料事件需支付額外的費用。如需 CloudTrail 定價的詳細資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
## CloudTrail 中的 Amazon Bedrock 管理事件
[管理事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events)提供有關在 AWS 帳戶中資源上執行的管理操作的資訊。這些也稱為控制平面操作。根據預設,CloudTrail 會記錄管理事件 API 操作。
Amazon Bedrock 會將 [Amazon Bedrock 執行時期 API 操作](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock_Runtime.html) (`InvokeModel`、`InvokeModelWithResponseStream`、`Converse` 和 `ConverseStream`) 記錄為[管理事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events)。
Amazon Bedrock 會將剩餘的 Amazon Bedrock API 操作記錄為管理事件。有關 Amazon Bedrock 記錄到 CloudTrail 的 Amazon Bedrock API 操作的清單,請參閱以下 Amazon Bedrock API 參考中的頁面。
+ [Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock.html)。
+ [Amazon Bedrock 代理人](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock.html)。
+ [Amazon Bedrock 代理人執行時期](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock_Runtime.html)。
+ [Amazon Bedrock 執行時期](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock_Runtime.html)。
所有 [Amazon Bedrock API 操作](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock.html)和[適用於 Amazon Bedrock 的代理程式 API 操作](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock.html),均由 CloudTrail 記錄並記載在 [Amazon Bedrock API 參考](https://docs.aws.amazon.com/bedrock/latest/APIReference/)中。例如,對 `InvokeModel`、`StopModelCustomizationJob` 以及 `CreateAgent` 動作發出的呼叫會在 CloudTrail 日誌檔案中產生項目。
[Amazon GuardDuty](https://aws.amazon.com/guardduty/) 會持續監控和分析您的 CloudTrail 管理和事件日誌,以偵測潛在的安全問題。當您為 AWS 帳戶啟用 Amazon GuardDuty 時,它會自動開始分析 CloudTrail 日誌以偵測 Amazon Bedrock APIs中的可疑活動,例如使用者從新位置登入並使用 Amazon Bedrock APIs 移除 Amazon Bedrock Guardrail,或變更模型訓練資料的 Amazon S3 儲存貯體集。
## 了解 Amazon Bedrock 日誌檔案項目
追蹤是一種組態,能讓事件以日誌檔案的形式交付到您指定的 Amazon S3 儲存貯體。CloudTrail 日誌檔案包含一或多個日誌專案。一個事件為任何來源提出的單一請求,並包含請求動作、請求的日期和時間、請求參數等資訊。CloudTrail 日誌檔並非依公有 API 呼叫的堆疊追蹤排序,因此不會以任何特定順序出現。
以下範例顯示的是展示 `InvokeModel` 動作的 CloudTrail 日誌項目。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "AROAICFHPEXAMPLE",
"arn": "arn:aws:iam::111122223333:user/userxyz",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "userxyz"
},
"eventTime": "2023-10-11T21:58:59Z",
"eventSource": "bedrock.amazonaws.com",
"eventName": "InvokeModel",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Boto3/1.28.62 md/Botocore#1.31.62 ua/2.0 os/macos#22.6.0 md/arch#arm64 lang/python#3.9.6 md/pyimpl#CPython cfg/retry-mode#legacy Botocore/1.31.62",
"requestParameters": {
"modelId": "stability.stable-diffusion-xl-v0"
},
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 ",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "cipher suite",
"clientProvidedHostHeader": "bedrock-runtime.us-west-2.amazonaws.com"
}
}
```
# 標記 Amazon Bedrock 資源
為協助您管理 Amazon Bedrock 資源,您可以將中繼資料當做標籤將指派給每個資源。標籤是您指派給 AWS 資源的標籤。每個標籤皆包含索引鍵與值。
標籤可讓您以不同的方式分類 AWS 資源,例如依用途、擁有者或應用程式。如需標記的最佳實務和限制,請參閱[標記您的 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)。
標籤可協助您執行以下操作:
+ 識別和組織您的 AWS 資源。許多 AWS 資源都支援標記,因此您可以將相同的標籤指派給不同服務中的資源,以指出資源是相同的。
+ 配置成本。您可以在 AWS 帳單與成本管理 儀表板上啟用標籤。 AWS 會使用標籤來分類您的成本,並為您提供每月成本分配報告。如需詳細資訊,請參閱 *AWS 帳單與成本管理 使用者指南*中的[使用成本配置標籤](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)。
+ 控制對資源的存取。您可以搭配 Amazon Bedrock 使用標籤建立政策,以控制對 Amazon Bedrock 資源的存取。這些政策可連接至 IAM 角色或使用者,以啟用標籤型存取控制。
**Topics**
+ [使用主控台](#tagging-console)
+ [使用 API](#tagging-api)
## 使用主控台
您可以在建立或編輯支援的資源時,隨時新增、修改和移除標籤。
## 使用 API
若要執行標記作業,您需要的是要對其執行標記作業的資源的 Amazon Resource Name (ARN)。有兩組標記作業,視要新增標籤或管理標籤的資源而定。
下表摘要說明不同的使用案例及相應的標記操作:
****
| 使用案例 | 使用 [Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Amazon_Bedrock.html) API 操作建立的資源 | 使用 [Amazon Bedrock 代理人](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_Operations_Agents_for_Amazon_Bedrock.html) API 操作建立的資源 | 使用 Amazon Bedrock Data Automation API 建立的資源 |
| --- | --- | --- | --- |
| 標記資源 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/tagging.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/tagging.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/bedrock/latest/userguide/tagging.html) |
| 取消標記資源 | 使用 [Amazon Bedrock 控制平面端點](https://docs.aws.amazon.com/general/latest/gr/bedrock.html#br-cp)提出 [UntagResource](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_UntagResource.html) 請求。 | 使用 [Amazon Bedrock 代理人建置時期端點](https://docs.aws.amazon.com/general/latest/gr/bedrock.html#bra-bt)提出 [UntagResource](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_UntagResource.html) 請求。 | 使用 Amazon Bedrock Data Automation 建置時期端點提出 UntagResource 請求。 |
| 列出資源的標籤 | 使用 [Amazon Bedrock 控制平面端點](https://docs.aws.amazon.com/general/latest/gr/bedrock.html#br-cp)提出 [ListTagsForResource](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_ListTagsForResource.html) 請求。 | 使用 [Amazon Bedrock 代理人建置時期端點](https://docs.aws.amazon.com/general/latest/gr/bedrock.html#bra-bt)提出 [ListTagsForResource](https://docs.aws.amazon.com/bedrock/latest/APIReference/API_agent_ListTagsForResource.html) 請求。 | 使用 Amazon Bedrock Data Automation 建置時期端點提出 ListTagsForResource 請求。 |
**注意**
在 CloudTrail 中檢視這些操作時,您可以透過檢查事件詳細資訊中的請求參數,來識別要標記的特定資源。
選擇索引標籤以透過介面或語言查看程式碼範例。
------
#### [ AWS CLI ]
將兩個標籤新增至代理程式。以空格分隔鍵/值對。
```
aws bedrock-agent tag-resource \
--resource-arn "arn:aws:bedrock:us-east-1:123456789012:agent/AGENT12345" \
--tags key=department,value=billing key=facing,value=internal
```
從代理程式移除標籤。使用空格分隔索引鍵。
```
aws bedrock-agent untag-resource \
--resource-arn "arn:aws:bedrock:us-east-1:123456789012:agent/AGENT12345" \
--tag-keys key=department facing
```
列出代理程式的標籤。
```
aws bedrock-agent list-tags-for-resource \
--resource-arn "arn:aws:bedrock:us-east-1:123456789012:agent/AGENT12345"
```
------
#### [ Python (Boto) ]
新增兩個標籤給代理程式。
```
import boto3
bedrock = boto3.client(service_name='bedrock-agent')
tags = [
{
'key': 'department',
'value': 'billing'
},
{
'key': 'facing',
'value': 'internal'
}
]
bedrock.tag_resource(resourceArn='arn:aws:bedrock:us-east-1:123456789012:agent/AGENT12345', tags=tags)
```
從代理程式移除標籤。
```
bedrock.untag_resource(
resourceArn='arn:aws:bedrock:us-east-1:123456789012:agent/AGENT12345',
tagKeys=['department', 'facing']
)
```
列出代理程式的標籤。
```
bedrock.list_tags_for_resource(resourceArn='arn:aws:bedrock:us-east-1:123456789012:agent/AGENT12345')
```
------