Einrichten eines Amazon-S3-Ziels Einrichten des CloudWatch Protokollziels Verwenden der Konsole Verwendung von APIs mit Aufrufprotokollierung

Protokollierung von Modellaufrufen

Die Protokollierung von Modellaufrufen kann verwendet werden, um Aufrufprotokolle, Modelleingabedaten und Modellausgabedaten für alle Aufrufe in Ihrem zu erfassen, die in Amazon Bedrock AWS-Konto verwendet werden. Die Protokollierung ist standardmäßig deaktiviert.

Mit der Aufrufprotokollierung können Sie die vollständigen Anforderungsdaten, Antwortdaten und Metadaten aller Aufrufe in Ihrem Konto erfassen. Die Protokollierung kann so konfiguriert werden, dass sie die Zielressourcen bereitstellt, in denen die Protokolldaten veröffentlicht werden. Zu den unterstützten Zielen gehören Amazon CloudWatch Logs und Amazon Simple Storage Service (Amazon S3). Es werden nur Ziele aus demselben Konto und derselben Region unterstützt.

Bevor Sie die Aufrufprotokollierung aktivieren können, müssen Sie ein Amazon S3- oder - CloudWatch Protokollziel einrichten. Sie können die Aufrufprotokollierung entweder über die Konsole oder die API aktivieren.

Themen

Einrichten eines Amazon-S3-Ziels
Einrichten des CloudWatch Protokollziels
Verwenden der Konsole
Verwendung von APIs mit Aufrufprotokollierung

Einrichten eines Amazon-S3-Ziels

Mit folgenden Schritten können Sie ein S3-Ziel für die Protokollierung in Amazon Bedrock einrichten:

Erstellen Sie einen S3-Bucket, in dem die Protokolle gespeichert werden.

Fügen Sie eine Bucket-Richtlinie wie die folgende hinzu (ersetzen Sie die Werte für accountId, region, bucketName und optional prefix):

Anmerkung

Eine Bucket-Richtlinie wird in Ihrem Namen automatisch an den Bucket angehängt, wenn Sie die Protokollierung mit den Berechtigungen S3:GetBucketPolicy und S3:PutBucketPolicy konfigurieren.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonBedrockLogsWrite",
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": [
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucketName/prefix/AWSLogs/accountId/BedrockModelInvocationLogs/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
      }
    }
  ]
}

(Optional) Wenn Sie SSE-KMS für den Bucket konfigurieren, fügen Sie die folgende Richtlinie für den KMS-Schlüssel hinzu:


{
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
    }
}

Weitere Informationen zu S3-SSE-KMS-Konfigurationen finden Sie unter Angeben der KMS-Verschlüsselung.

Anmerkung

Die Bucket-ACL muss deaktiviert sein, damit die Bucket-Richtlinie wirksam wird. Weitere Informationen finden Sie unter Deaktivieren von ACLs für alle neuen Buckets und Durchsetzen von Object Ownership.

Einrichten des CloudWatch Protokollziels

Mit den folgenden Schritten können Sie ein Amazon- CloudWatch Logs-Ziel für die Protokollierung in Amazon Bedrock einrichten:

Erstellen Sie eine CloudWatch Protokollgruppe, in der die Protokolle veröffentlicht werden.

Erstellen Sie eine IAM-Rolle mit den folgenden Berechtigungen für - CloudWatch Protokolle.

Vertrauenswürdige Entität:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
      }
    }
  ]
}

Rollenrichtlinie:


{
    "Version": "2012-10-17", 
    "Statement": [ 
        {
            "Effect": "Allow", 
            "Action": [ 
                "logs:CreateLogStream", 
                "logs:PutLogEvents" 
            ], 
            "Resource": "arn:aws:logs:region:accountId:log-group:logGroupName:log-stream:aws/bedrock/modelinvocations" 
         } 
    ]
}

Weitere Informationen zum Einrichten von SSE für CloudWatch Logs finden Sie unter Verschlüsseln von Protokolldaten in CloudWatch Logs mit AWS Key Management Service.

Verwenden der Konsole

Wenn Sie die Protokollierung von Modellaufrufen aktivieren möchten, ziehen Sie auf der Seite Einstellungen den Schieberegler neben dem Umschalter Protokollierung. Zusätzliche Konfigurationseinstellungen für die Protokollierung werden im Bereich angezeigt.

Wählen Sie aus, welche Datenanfragen und Antworten Sie in den Protokollen veröffentlichen möchten. Sie können eine beliebige Kombination aus den folgenden Ausgabeoptionen auswählen:

Text
Image
Einbettung

Wählen Sie aus, wo die Protokolle veröffentlicht werden sollen:

Nur Amazon S3
CloudWatch Nur Protokolle
Sowohl Amazon S3 als auch CloudWatch Protokolle

Amazon S3- und CloudWatch Logs-Ziele werden für Aufrufprotokolle sowie für kleine Eingabe- und Ausgabedaten unterstützt. Für große Ein- und Ausgabedatenmengen oder binäre Bildausgaben wird nur Amazon S3 unterstützt. Die folgenden Details fassen zusammen, wie die Daten am Zielort dargestellt werden.

S3-Ziel – Gzip-JSON-Dateien, die jeweils einen Stapel von Aufrufprotokolldatensätzen enthalten, werden an den angegebenen S3-Bucket übermittelt. Ähnlich wie bei einem CloudWatch Protokollereignis enthält jeder Datensatz die Aufrufmetadaten sowie Eingabe- und Ausgabe-JSON-Textkörper mit einer Größe von bis zu 100 KB. Binärdaten oder JSON-Texte, die größer als 100 KB sind, werden als einzelne Objekte in den angegebenen Amazon-S3-Bucket unter dem Datenpräfix hochgeladen. Die Daten können mit Amazon S3 Select und Amazon Athena abgefragt und für ETL mit AWS Glue katalogisiert werden. Die Daten können in den OpenSearch Service geladen oder von Amazon- EventBridge Zielen verarbeitet werden.
CloudWatch Protokollziel – JSON-Aufrufprotokollereignisse werden an eine angegebene Protokollgruppe in - CloudWatch Protokollen übermittelt. Das Protokollereignis enthält die Aufruf-Metadaten sowie Ein- und Ausgabe-JSON-Texte mit einer Größe von bis zu 100 KB. Wenn ein Amazon S3-Speicherort für die Bereitstellung großer Daten bereitgestellt wird, werden Binärdaten oder JSON-Texte, die größer als 100 KB sind, stattdessen unter dem Datenpräfix in den Amazon S3-Bucket hochgeladen. -Daten können mit CloudWatch Logs Insights abgefragt und mithilfe von - CloudWatch Protokollen in Echtzeit an verschiedene -Services gestreamt werden.

Verwendung von APIs mit Aufrufprotokollierung

Die Protokollierung von Modellaufrufen kann mithilfe der folgenden APIs konfiguriert werden:

PutModelInvocationLoggingConfiguration
GetModelInvocationLoggingConfiguration
DeleteModelInvocationLoggingConfiguration

Weitere Informationen zur Verwendung von APIs mit Aufrufprotokollierung finden Sie im Bedrock-API-Leitfaden.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Überwachen von Amazon Bedrock

Amazon Bedrock Studio-Protokollierung