Activación del registro externo para AWS

La experiencia agéntica utiliza potentes agentes de IA, orquestación dinámica y herramientas integradas para ofrecer una toma de decisiones y una automatización más inteligentes y conscientes del contexto.

Para facilitar la supervisión y depuración de los flujos de trabajo de los agentes, puede activar el registro externo para almacenar y acceder a los registros de auditoría y depuración utilizando Amazon S3 y CloudWatch.

Antes de empezar

Para acceder a los registros y rastros:

Tienes que crear:

  • Un cubo Amazon S3 para almacenar registros.
  • Un grupo de registro CloudWatch para ver y analizar los registros.
  • Funciones y políticas IAM para gestionar el acceso.

Los registros se almacenan en Amazon S3 y, opcionalmente, se visualizan en CloudWatch Registros. Debe configurar estos recursos AWS y registrarlos con el soporte IBM para habilitar el registro en watsonx Orchestrate.

Paso 1: Crear un cubo Amazon S3

Amazon S3 los buckets son contenedores que almacenan datos. A continuación se indican los pasos para crear un cubo Amazon S3 :

  1. Cree un cubo Amazon S3 en su cuenta. Los nombres de los cubos de Amazon S3 deben ser únicos a nivel mundial. Por lo tanto, debe crear un nombre único para su cubo S3 añadiendo su ID de inquilino al final del nombre del cubo, como "tenantxxx-bucket".

  2. Cree un rol en su cuenta AWS y especifique el ID de la cuenta watsonx Orchestrate ServiceLine AWS, que es 239621575091, como entidad de confianza. También debe crear una nueva política que limite los permisos del rol a sólo lectura y escritura en el bucket creado "tenantxxx-bucket". Cualquier persona a la que se le haya concedido acceso con este rol tiene acceso total de lectura y escritura al cubo "tenantxxx-bucket" .

    i. Antes de crear un rol, prepare la política gestionada que define los permisos para los requisitos del rol y adjunte la política gestionada preparada al rol en un paso posterior.

    ii. Vaya a la consola AWS Identity and Access Management (IAM) y haga clic en Policies > Create policy. Haga clic en la pestaña JSON y copie el texto completo del documento de política JSON. Edite y actualice el documento de política JSON copiado en un editor de texto JSON sustituyendo el recurso ARN (arn:aws:s3:::tenantxxx-bucket) por el de sus buckets Amazon S3. A continuación se muestra un ejemplo de documento de política JSON:

    {
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Action": "s3:ListAllMyBuckets",
        "Resource": "*"
    },
    {
        "Effect": "Allow",
        "Action": [
        "s3:ListBucket",
        "s3:GetBucketLocation"
        ],
        "Resource": "arn:aws:s3:::tenantxxx-bucket"
    },
    {
        "Effect": "Allow",
        "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:DeleteObject"
        ],
        "Resource": "arn:aws:s3:::tenantxxx-bucket/*"
    }
    ]
}

    ii. En la página Revisar y crear, introduzca un nombre de política; por ejemplo, read-write-app-bucket.

    iv. Revise los permisos concedidos por la política y haga clic en Crear política para guardarla. La nueva política debe aparecer en la lista de políticas gestionadas.

    v. Para crear un rol, vaya al panel de navegación, haga clic en Roles > Crear rol.

    vi. Haga clic en Un tipo de función de cuenta AWS y establezca una cuenta AWS :

    • Seleccione Otra cuenta AWS y especifique el ID de cuenta de la cuenta watsonx Orchestrate ServiceLine AWS, que es 239621575091, en ID de cuenta.

    vii. Establezca los permisos asociados al rol, pulse Siguiente: Permisos.

    viii. Haga clic en la casilla situada junto a la política creada en el paso anterior.

    ix. (Opcional) Añada metadatos al usuario adjuntando etiquetas como pares clave-valor.

    x. (Opcional) En Descripción, puede introducir una descripción para la nueva función.

    xi. Después de revisar el rol, haga clic en Crear rol.

  3. Después de crear el rol, obtenga el Nombre de Recurso de Amazon (ARN) del rol. ARN es un identificador único para el rol. Para obtener el ARN:

    i. Vaya al panel de navegación de la consola de IAM y haga clic en Roles.

    ii. En la lista de roles, seleccione el rol que creó en el paso anterior.

    iii. Copie el valor ARN de la función del Resumen.

Ahora puede utilizar este cubo para almacenar los registros externos.

Paso 3: Crear un grupo de registro CloudWatch

  1. Vaya a CloudWatch > Grupos de registro y cree un nuevo grupo, por ejemplo, tenantxxx-lg.
  2. Siga pasos similares a los de S3 to:
    • Cree una política IAM para el acceso al grupo de registro CloudWatch
    • Asigne permisos a las acciones de logs:* para su grupo de registro ARN (formato: arn:aws:logs:<account_id>:log-group:tenantxxx-lg:*)
    • Cree un nuevo rol para watsonx Orchestrate utilizando el mismo ID de cuenta de AWS : 239621575091
  3. Copie el ARN del rol para el registro.

Ejemplo de política CloudWatch :

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "VisualEditor0",
        "Effect": "Allow",
        "Action": [
        "logs:ListTagsLogGroup",
        "logs:GetDataProtectionPolicy",
        "logs:DeleteDataProtectionPolicy",
        "logs:DescribeLogStreams",
        "logs:StartQuery",
        "logs:CreateLogStream",
        "logs:TagLogGroup",
        "logs:GetLogEvents",
        "logs:AssociateKmsKey",
        "logs:FilterLogEvents",
        "logs:PutDestination",
        "logs:DisassociateKmsKey",
        "logs:PutDataProtectionPolicy",
        "logs:UntagLogGroup",
        "logs:DescribeLogGroups",
        "logs:PutDestinationPolicy",
        "logs:TagResource",
        "logs:PutLogEvents",
        "logs:CreateLogGroup",
        "logs:PutRetentionPolicy",
        "logs:GetLogGroupFields"
        ],
        "Resource": "arn:aws:logs::<AWS_Account_ID>:log-group:tenantxxx-lg:*"
    }
    ]
}

Paso 4: Registrar los datos de registro en IBM

Para habilitar el reenvío de registros, abra un caso de soporte técnico en IBM. Incluya la siguiente información en su solicitud:

  • watsonx Orchestrate CRN

    Para encontrar su CRN:

    • Acceda a watsonx Orchestrate.
    • Vaya a Perfil > Acerca de.
    • Haz una captura de pantalla de la página Acerca de y adjúntala a tu caso de asistencia.

  • Amazon S3 información del cubo

    Proporcione los detalles siguientes:

    • s3_bucket_name
    • s3_region
    • s3_role_arn

  • CloudWatch información del grupo de registro

    Proporcione los detalles siguientes:

    • cw_loggroup_name
    • cw_region
    • cw_role_arn

Después de que el servicio de asistencia IBM complete la integración, recibirá una confirmación.

Paso 5: Acceder a los registros

  • Registros de auditoría

    • Situado en su cubo Amazon S3

    • Almacenados en formato JSON en una carpeta de nivel superior con el nombre de su ID de inquilino

  • anotaciones de depuración

    • Disponible en CloudWatch

    • Incluye registros de auditoría y contexto de ejecución adicional para la resolución de problemas

Nota: Los registros de depuración no pretenden mostrar los registros internos del sistema de watsonx Orchestrate. Dado que estos registros adicionales están destinados a fines de depuración, su contenido podría cambiar.