Configuration d'une destination Amazon S3 Configurer une destination CloudWatch Logs Modèle de journalisation des invocations à l'aide de la console Modèle de journalisation des invocations à l'aide du API

Surveillez l'invocation du modèle à l'aide des journaux CloudWatch

Vous pouvez utiliser la journalisation des appels par modèle pour collecter les journaux des appels, les données d'entrée du modèle et les données de sortie du modèle pour toutes les invocations de votre Compte AWS utilisé dans Amazon Bedrock.

Grâce à la journalisation des invocations, vous pouvez collecter l'intégralité des données de demande, les données de réponse et les métadonnées associées à tous les appels effectués sur votre compte. La journalisation peut être configurée pour fournir les ressources de destination où les données de journal seront publiées. Les destinations prises en charge incluent Amazon CloudWatch Logs et Amazon Simple Storage Service (Amazon S3). Seules les destinations du même compte et de la même région sont possibles.

La journalisation des appels du modèle est désactivée par défaut.

Les opérations suivantes peuvent enregistrer les appels de modèles.

Lorsque vous utilisez la Converse API, toutes les données d'image ou de document que vous transmettez sont enregistrées dans Amazon S3 (si vous avez activé la livraison et l'enregistrement des images dans Amazon S3).

Avant de pouvoir activer la journalisation des appels, vous devez configurer une destination Amazon S3 ou CloudWatch Logs. Vous pouvez activer la journalisation des appels via la console ou leAPI.

Rubriques

Configuration d'une destination Amazon S3
Configurer une destination CloudWatch Logs
Modèle de journalisation des invocations à l'aide de la console
Modèle de journalisation des invocations à l'aide du API

Configuration d'une destination Amazon S3

Pour configurer une destination S3 pour la journalisation dans Amazon Bedrock, procédez comme suit :

Créez un compartiment S3 dans lequel les journaux seront envoyés.

Ajoutez-y une politique de compartiment comme celle ci-dessous (Remplacez les valeurs pour accountId, region, bucketName, et éventuellement prefix):

Note

Une politique de compartiment est automatiquement attachée au compartiment en votre nom lorsque vous configurez la journalisation avec les autorisations S3:GetBucketPolicy et S3:PutBucketPolicy.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonBedrockLogsWrite",
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": [
        "s3:PutObject"
      ],
      "Resource": [
        "arn:aws:s3:::bucketName/prefix/AWSLogs/accountId/BedrockModelInvocationLogs/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
      }
    }
  ]
}

(Facultatif) Si vous configurezSSE, KMS sur le compartiment, ajoutez la politique ci-dessous sur la KMS clé :


{
    "Effect": "Allow",
    "Principal": {
        "Service": "bedrock.amazonaws.com"
    },
    "Action": "kms:GenerateDataKey",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
           "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
    }
}

Pour plus d'informations sur les KMS configurations S3SSE, consultez la section Spécification du KMS chiffrement.

Note

Le compartiment ACL doit être désactivé pour que la politique du compartiment entre en vigueur. Pour plus d'informations, consultez les sections Désactivation de tous ACLs les nouveaux compartiments et renforcement de la propriété des objets.

Configurer une destination CloudWatch Logs

Vous pouvez configurer une destination Amazon CloudWatch Logs pour vous connecter à Amazon Bedrock en suivant les étapes suivantes :

Créez un CloudWatch groupe de journaux dans lequel les journaux seront publiés.

Créez un IAM rôle avec les autorisations suivantes pour CloudWatch Logs.

Entité de confiance :


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "bedrock.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "accountId" 
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:bedrock:region:accountId:*"
        }
      }
    }
  ]
}

Politique de rôle :


{
    "Version": "2012-10-17", 
    "Statement": [ 
        {
            "Effect": "Allow", 
            "Action": [ 
                "logs:CreateLogStream", 
                "logs:PutLogEvents" 
            ], 
            "Resource": "arn:aws:logs:region:accountId:log-group:logGroupName:log-stream:aws/bedrock/modelinvocations" 
         } 
    ]
}

Pour plus d'informations sur la configuration SSE des CloudWatch journaux, voir Chiffrer les données des journaux dans les CloudWatch journaux à l'aide de AWS Key Management Service.

Modèle de journalisation des invocations à l'aide de la console

Pour activer la journalisation des invocations de modèle, faites glisser le curseur situé à côté du bouton Journalisation sur la page Paramètres. Des paramètres de configuration supplémentaires pour la journalisation s'affichent dans le panneau.

Choisissez les demandes de données et les réponses que vous souhaitez publier dans les journaux. Vous pouvez choisir n'importe quelle combinaison parmi les options de sortie suivantes :

Texte
Image
Intégration

Choisissez où publier les journaux :

Amazon S3 uniquement
CloudWatch Logs uniquement
Amazon S3 et CloudWatch Logs

Les destinations Amazon S3 et CloudWatch Logs sont prises en charge pour les journaux d'invocation et les petites données d'entrée et de sortie. Pour les données d'entrée et de sortie volumineuses ou les sorties d'images binaires, seul Amazon S3 est pris en charge. Les informations suivantes résument la manière dont les données sont représentées dans l'emplacement cible.

Destination S3 — JSON Les fichiers compressés, contenant chacun un lot d'enregistrements du journal des appels, sont envoyés dans le compartiment S3 spécifié. À l'instar d'un événement CloudWatch Logs, chaque enregistrement contiendra les métadonnées d'appel, ainsi que des JSON corps d'entrée et de sortie d'une taille maximale de 100 Ko. Les données binaires ou JSON les corps supérieurs à 100 Ko seront chargés sous forme d'objets individuels dans le compartiment Amazon S3 spécifié sous le préfixe de données. Les données peuvent être consultées à l'aide d'Amazon S3 Select et d'Amazon Athena, et peuvent être cataloguées pour être utilisées ETL AWS Glue. Les données peuvent être chargées dans le OpenSearch service ou traitées par n'importe quelle EventBridge cible Amazon.
CloudWatch Destination des journaux : les événements du journal d'JSONinvocation sont transmis à un groupe de CloudWatch journaux spécifié dans Logs. L'événement journal contient les métadonnées d'appel, ainsi que des JSON corps d'entrée et de sortie d'une taille maximale de 100 Ko. Si un emplacement Amazon S3 est fourni pour la diffusion de données volumineuses, les données binaires ou les JSON corps de plus de 100 Ko seront plutôt chargés dans le compartiment Amazon S3 sous le préfixe de données. Les données peuvent être interrogées à l'aide de CloudWatch Logs Insights, puis diffusées vers divers services en temps réel à l'aide de Logs. CloudWatch

Modèle de journalisation des invocations à l'aide du API

Le modèle de journalisation des appels peut être configuré comme suit : APIs

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Surveillez l'état et les performances d'Amazon Bedrock

Surveillez les bases de connaissances à l'aide CloudWatch des journaux