を使用した Amazon Bedrock API コールのログ記録 AWS CloudTrail - Amazon Bedrock
の Amazon Bedrock 情報 CloudTrailの Amazon Bedrock データイベント CloudTrailでの Amazon Bedrock 管理イベント CloudTrailAmazon Bedrock ログファイルエントリの概要

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用した Amazon Bedrock API コールのログ記録 AWS CloudTrail

Amazon Bedrock は AWS CloudTrail、Amazon Bedrock のユーザー、ロール、または AWS のサービスによって実行されたアクションを記録するサービスである と統合されています。 は、Amazon Bedrock のすべての API コールをイベントとして CloudTrail キャプチャします。キャプチャされるコールには、Amazon Bedrock コンソールからのコールと、Amazon Bedrock API オペレーションへのコードコールが含まれます。証跡を作成する場合は、Amazon Bedrock の CloudTrail イベントなど、Amazon S3 バケットへのイベントの継続的な配信を有効にすることができます。 Amazon S3 証跡を設定しない場合でも、コンソールのイベント履歴 で最新の CloudTrail イベントを表示できます。 で収集された情報を使用して CloudTrail、Amazon Bedrock に対するリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。

の詳細については CloudTrail、「 AWS CloudTrail ユーザーガイド」を参照してください。

の Amazon Bedrock 情報 CloudTrail

CloudTrail アカウントを作成する AWS アカウント と、 は で有効になります。Amazon Bedrock でアクティビティが発生すると、そのアクティビティは CloudTrail イベント履歴 の他の AWS サービスイベントとともに イベントに記録されます。 で最近のイベントを表示、検索、ダウンロードできます AWS アカウント。詳細については、「イベント履歴 を使用した CloudTrail イベントの表示」を参照してください。

Amazon Bedrock のイベントなど AWS アカウント、 のイベントの継続的な記録については、証跡を作成します。証跡により、 はログファイル CloudTrail を Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべての AWS リージョン に適用されます。証跡は、 AWS パーティション内のすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、 CloudTrail ログで収集されたデータをより詳細に分析し、それに基づく対応を行うように他の AWS サービスを設定できます。詳細については、次を参照してください:

各イベントまたはログエントリには、誰がリクエストを生成したかという情報が含まれます。アイデンティティ情報は、以下を判別するために役立ちます。

  • リクエストがルートまたは AWS Identity and Access Management (IAM) ユーザーの認証情報のどちらを使用して送信されたか。

  • リクエストがロールまたはフェデレーションユーザーのテンポラリなセキュリティ認証情報を使用して行われたかどうか。

  • リクエストが別の AWS サービスによって送信されたかどうか。

詳細については、「CloudTrail userIdentity 要素」を参照してください。

の Amazon Bedrock データイベント CloudTrail

データイベントでは、リソース上またはリソース内で実行されるリソースオペレーション (Amazon S3 オブジェクトの読み取りまたは書き込みなど) についての情報が得られます。これらのイベントは、データプレーンオペレーションとも呼ばれます。データイベントは、多くの場合、デフォルトではログに CloudTrail 記録されない大量のアクティビティです。

Amazon Bedrock は Amazon Bedrock ランタイム API オペレーション (InvokeModelInvokeModelWithResponseStream) をログ記録しません。

Amazon Bedrock は、Amazon Bedrock ランタイム API オペレーションアクションのすべてのエージェントデータイベント CloudTrail として に記録します。

  • InvokeAgent 呼び出しをログに記録するには、AWS::Bedrock::AgentAliasリソースタイプのデータイベントを記録するように高度なイベントセレクタを設定します。

  • Retrieve および RetrieveAndGenerate呼び出しをログに記録するには、AWS::Bedrock::KnowledgeBaseリソースタイプのデータイベントを記録するように高度なイベントセレクタを設定します。

CloudTrail コンソールから、データイベントタイプ の Bedrock エージェントエイリアスまたは Bedrock ナレッジベースを選択します。さらに、カスタムログセレクタテンプレートを選択することで、eventName および resources.ARN フィールドをフィルタリングすることもできます。詳細については、「AWS マネジメントコンソールでデータイベントをログ記録する」を参照してください。

から AWS CLI、 のresource.type値を AWS::Bedrock::AgentAliasまたは に設定AWS::Bedrock::KnowledgeBaseし、 の値を eventCategoryに設定しますData。詳細については、「AWS CLI でのデータイベントのログ記録」を参照してください。

次の例では、 AWS CLI のすべての Amazon Bedrock リソースタイプに関する Amazon Bedrock データイベントをすべてログ記録する証跡を設定する方法を示します。

aws cloudtrail put-event-selectors --trail-name trailName \
--advanced-event-selectors \
'[
  {
    "Name": "Log all data events on an Agents for Amazon Bedrock agent alias",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::Bedrock::AgentAlias"] }
    ]
  },
  {
    "Name": "Log all data events on an Agents for Amazon Bedrock knowledge base",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::Bedrock::KnowledgeBase"] }
    ]
  }
]'

さらに、eventName および resources.ARN フィールドをフィルタリングすることもできます。フィールドの詳細については、「AdvancedFieldSelector」を参照してください。

追加の変更がイベントデータに適用されます。 CloudTrail 料金の詳細については、AWS CloudTrail 「 の料金」を参照してください。

での Amazon Bedrock 管理イベント CloudTrail

管理イベントは、 AWS アカウントのリソースで実行される管理オペレーションに関する情報を提供します。これらは、デフォルトではコントロールプレーン operations. CloudTrail logs 管理イベント API オペレーションとも呼ばれます。

Amazon Bedrock は、残りの Amazon Bedrock API オペレーションを管理イベントとしてログ記録します。Amazon Bedrock が に記録する Amazon Bedrock API オペレーションのリストについては CloudTrail、Amazon Bedrock API リファレンスの以下のページを参照してください。

すべての Amazon Bedrock API オペレーションAgents for Amazon Bedrock API オペレーションは、 によってログに記録 CloudTrail され、Amazon Bedrock API リファレンス に記載されています。例えば、InvokeModel、、および CreateAgentアクションを呼び出すとStopModelCustomizationJob、 CloudTrail ログファイルにエントリが生成されます。

Amazon Bedrock ログファイルエントリの概要

証跡は、指定した Amazon S3 バケットにイベントをログファイルとして配信できるようにする設定です。 CloudTrail ログファイルには、1 つ以上のログエントリが含まれます。イベントは任意の送信元からの単一のリクエストを表し、リクエストされたアクション、アクションの日時、リクエストパラメータなどに関する情報が含まれます。 CloudTrail ログファイルは、パブリック API コールの順序付けられたスタックトレースではないため、特定の順序では表示されません。

次の例は、 InvokeModelアクションを示す CloudTrail ログエントリを示しています。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AROAICFHPEXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/userxyz",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "userxyz"
    },
    "eventTime": "2023-10-11T21:58:59Z",
    "eventSource": "bedrock.amazonaws.com",
    "eventName": "InvokeModel",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "Boto3/1.28.62 md/Botocore#1.31.62 ua/2.0 os/macos#22.6.0 md/arch#arm64 lang/python#3.9.6 md/pyimpl#CPython cfg/retry-mode#legacy Botocore/1.31.62",
    "requestParameters": {
        "modelId": "stability.stable-diffusion-xl-v0"
    },
    "responseElements": null,
    "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 ",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "cipher suite",
        "clientProvidedHostHeader": "bedrock-runtime.us-west-2.amazonaws.com"
    }
}