View a markdown version of this page

使用监控 b edrock-mantle API 调用 CloudTrail - Amazon Bedrock
管理事件数据事件配置数据事件捕获资源类型示例日志条目与基岩运行时日志 CloudTrail 的区别

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用监控 b edrock-mantle API 调用 CloudTrail

bedrock-mantle.region.api.aws端节点与集成 AWS CloudTrail。 CloudTrail 将对 bedrock-mantle API 操作的调用记录为事件,包括来自、、OpenAI SDK AWS CLI、Anthropic SDK 的调用以及直接 HTTPS 调用。 AWS 管理控制台活动eventSourcebedrock-mantle.amazonaws.com.

如果您的应用程序通过调用推理bedrock-runtime.region.amazonaws.com,请参阅使用监控 Amazon Bedrock API 调用 CloudTrail

有关其 CloudTrail 本身的背景信息,请参阅《AWS CloudTrail 用户指南》

管理事件

默认情况下,管理事件会记录到您的 CloudTrail 事件历史记录中,无需支付额外费用。 bedrock-mantle将以下操作记录为管理事件。每个事件的requestParameters字段还包含callWithBearerTokenbearerTokenType如果适用),服务会为每个事件添加这些字段。

  模型
事件名称 HTTP 路由 其他请求参数
ListModels GET /v1/models none
GetModel GET /v1/models/{model} model
Fine-tuning
事件名称 HTTP 路由 其他请求参数
ListFineTuningJobs GET /v1/fine_tuning/jobs none
CreateFineTuningJob POST /v1/fine_tuning/jobs modeltrainingFilevalidationFilemetadatamethod(结构化对象包括type和,用于钢筋运行,grader.lambda.function
GetFineTuningJob GET /v1/fine_tuning/jobs/{id}, /events, /checkpoints fineTuningJob
CancelFineTuningJob POST /v1/fine_tuning/jobs/{id}/cancel fineTuningJob
Projects
事件名称 HTTP 路由 其他请求参数
ListProjects GET /v1/organization/projects none
CreateProject POST /v1/organization/projects name, tags
GetProject GET /v1/organization/projects/{project_id} project_id
UpdateProject POST /v1/organization/projects/{project_id} project_id, name, add_tags, remove_tag_keys, tags
ArchiveProject POST /v1/organization/projects/{project_id}/archive project_id

数据事件

默认情况下不记录数据事件,并且会产生额外 CloudTrail 费用。 bedrock-mantle将以下操作记录为数据事件。要捕获它们,请在跟踪或事件数据存储上配置高级事件选择器,如记录数据事件中所述。

推理
事件名称 HTTP 路由 其他请求参数
CreateInference POST /v1/responses model, previousResponse, stream, service_tier, metadata
CreateInference POST /v1/responses/compact model, previous_response_id
CreateInference POST /v1/chat/completions model, stream, service_tier, metadata
CreateInference POST /v1/embeddings model
CreateInference POST /anthropic/v1/messages model, stream, max_tokens
GetInference GET /v1/responses/{response_id} response, stream
CancelInference POST /v1/responses/{response_id}/cancel response
DeleteInference DELETE /v1/responses/{response_id} response
CountTokens POST /anthropic/v1/messages/count_tokens model
文件
事件名称 HTTP 路由 其他请求参数
ListFiles GET /v1/files limit, order, purpose, after
CreateFile POST /v1/files purpose, filename, bytes
GetFile GET /v1/files/{file_id}, /content file
DeleteFile DELETE /v1/files/{file_id} file
注意

Customer-supplied metadataon c CreateInference alls 是逐字记录的。 CloudTrailmetadata如果要捕获数据事件,请勿在中包含机密、凭证或其他敏感值。

配置数据事件捕获

以下示例将跟踪配置为捕获所有bedrock-mantle推理和文件数据事件:

aws cloudtrail put-event-selectors \
    --trail-name <trailName> \
    --advanced-event-selectors '[
      {
        "Name": "Log Bedrock Mantle inference and file events",
        "FieldSelectors": [
          { "Field": "eventCategory", "Equals": ["Data"] },
          { "Field": "resources.type", "Equals": [
            "AWS::BedrockMantle::Project",
            "AWS::BedrockMantle::CustomizedModel",
            "AWS::BedrockMantle::Reservation"
          ]}
        ]
      }
    ]'

此外,您还可以按eventName和进行筛选resources.ARN。有关高级事件选择器的详细信息,请参阅AdvancedFieldSelector

资源类型

bedrock-mantle CloudTrail 事件引用以下资源类型:

  • AWS::BedrockMantle::Project

  • AWS::BedrockMantle::Reservation

  • AWS::BedrockMantle::CustomizedModel

  • AWS::BedrockMantle::Environment

  • AWS::BedrockMantle::Runtime

  • AWS::BedrockMantle::Skill

示例日志条目

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AROAICFHPEXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/userxyz",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "userxyz"
    },
    "eventTime": "2026-05-30T14:32:11Z",
    "eventSource": "bedrock-mantle.amazonaws.com",
    "eventName": "CreateInference",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "OpenAI/Python 1.50.0",
    "requestParameters": {
        "model": "anthropic.claude-opus-4-7",
        "stream": true,
        "service_tier": "default",
        "metadata": {"team": "platform"},
        "callWithBearerToken": true,
        "bearerTokenType": "ABSK"
    },
    "responseElements": null,
    "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "111122223333",
    "eventCategory": "Data",
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::BedrockMantle::Project",
            "ARN": "arn:aws:bedrock-mantle:us-east-1:111122223333:project/proj_abc123"
        }
    ],
    "tlsDetails": {
        "tlsVersion": "TLSv1.3",
        "cipherSuite": "TLS_AES_128_GCM_SHA256",
        "clientProvidedHostHeader": "bedrock-mantle.us-east-1.api.aws"
    }
}

基岩运行时日志 CloudTrail 的区别

  • 推理是开启的数据事件bedrock-mantle,开启的管理事件。bedrock-runtimebedrock-runtime终端节点将 Converse ConverseStreamInvokeModel、、和记录InvokeModelWithResponseStream为管理事件,无需支付额外费用。终bedrock-mantle端节点将CreateInference和其他推理操作记录为数据事件,这会产生 CloudTrail 数据事件费用。如果您需要对推理调用进行审计跟踪bedrock-mantle,则必须在跟踪或事件数据存储上明确启用数据事件捕获。

  • 不同的事件源和资源类型。 bedrock-mantle事件使用 o eventSource f bedrock-mantle.amazonaws.com 和引用AWS::BedrockMantle::*资源类型。 CloudTrail Lake 查询、Athena 视图和侦探控件,可以过滤bedrock-runtime.amazonaws.com或不bedrock.amazonaws.com捕获活动。bedrock-mantle