Abilitazione della registrazione esterna per AWS

L'esperienza agenziale si avvale di potenti agenti AI, orchestrazione dinamica e strumenti integrati per offrire un processo decisionale e un'automazione più intelligenti e consapevoli del contesto.

Per supportare il monitoraggio e il debug dei flussi di lavoro dell'agente, è possibile abilitare la registrazione esterna per memorizzare e accedere sia ai registri di audit che a quelli di debug, utilizzando le opzioni Amazon S3 e CloudWatch.

Prima di iniziare

Per accedere ai registri e alle tracce:

È necessario creare:

  • Un secchio Amazon S3 per memorizzare i registri.
  • Un gruppo di log CloudWatch per visualizzare e analizzare i log.
  • Ruoli e criteri IAM per gestire l'accesso.

I registri sono archiviati in Amazon S3 e possono essere visualizzati in CloudWatch Logs. È necessario configurare queste risorse AWS e registrarle con il supporto IBM per abilitare la registrazione in watsonx Orchestrate.

Passo 1: Creare un secchio Amazon S3

Amazon S3 i bucket sono contenitori che memorizzano i dati. Di seguito sono riportati i passaggi per creare un bucket Amazon S3 :

  1. Create un bucket Amazon S3 nel vostro account. I nomi dei bucket Amazon S3 devono essere univoci a livello globale. Pertanto, è necessario creare un nome univoco per il bucket S3 aggiungendo il proprio ID tenant alla fine del nome del bucket, ad esempio "tenantxxx-bucket".

  2. Creare un ruolo nell'account AWS e specificare l'ID dell'account watsonx Orchestrate ServiceLine AWS, che è 239621575091, come entità attendibile. È inoltre necessario creare un nuovo criterio che limiti le autorizzazioni del ruolo al solo accesso in lettura e scrittura al bucket creato "tenantxxx-bucket". Chiunque abbia ottenuto l'accesso con questo ruolo ha accesso in lettura e scrittura al bucket "tenantxxx-bucket" .

    i. Prima di creare un ruolo, preparate il criterio gestito che definisce le autorizzazioni per i requisiti del ruolo e allegate il criterio gestito preparato al ruolo in un passaggio successivo.

    ii. Accedere alla console AWS Identity and Access Management (IAM) e fare clic su Policies > Create policy. Fare clic sulla scheda JSON e copiare il testo completo dal documento di politica JSON. Modificare e aggiornare il documento di policy JSON copiato in un editor di testo JSON, sostituendo l'ARN delle risorse (arn:aws:s3:::tenantxxx-bucket) con quello dei propri bucket Amazon S3. Di seguito è riportato un esempio di documento di politica JSON:

    {
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Action": "s3:ListAllMyBuckets",
        "Resource": "*"
    },
    {
        "Effect": "Allow",
        "Action": [
        "s3:ListBucket",
        "s3:GetBucketLocation"
        ],
        "Resource": "arn:aws:s3:::tenantxxx-bucket"
    },
    {
        "Effect": "Allow",
        "Action": [
        "s3:GetObject",
        "s3:PutObject",
        "s3:DeleteObject"
        ],
        "Resource": "arn:aws:s3:::tenantxxx-bucket/*"
    }
    ]
}

    ii. Nella pagina Revisione e creazione, immettere il nome di un criterio, ad esempio read-write-app-bucket.

    iv. Rivedere le autorizzazioni concesse dal criterio e fare clic su Crea criterio per salvare. Il nuovo criterio deve comparire nell'elenco dei criteri gestiti.

    v. Per creare un ruolo, accedere al riquadro di navigazione, fare clic su Ruoli > Crea ruolo.

    vi. Fare clic su Un tipo di ruolo di account AWS e impostare un account AWS :

    • Selezionare Un altro account AWS e specificare l'ID dell'account watsonx Orchestrate ServiceLine AWS, che è 239621575091, in ID account.

    vii. Impostare le autorizzazioni associate al ruolo e fare clic su Avanti: Autorizzazioni.

    viii. Fare clic sulla casella di controllo accanto al criterio creato nel passaggio precedente.

    ix. (Facoltativo) Aggiungere metadati all'utente allegando tag come coppie chiave-valore.

    x. (Facoltativo) Alla voce Descrizione, è possibile inserire una descrizione per il nuovo ruolo.

    xi. Dopo aver esaminato il ruolo, fare clic su Crea ruolo.

  3. Dopo aver creato il ruolo, ottenere l'Amazon Resource Name (ARN) del ruolo. L'ARN è un identificativo unico per il ruolo. Per ottenere l'ARN:

    i. Accedere al pannello di navigazione della console IAM e fare clic su Ruoli.

    ii. Nell'elenco dei ruoli, scegliere il ruolo creato nel passaggio precedente.

    iii. Copiare il valore ARN del ruolo dal riepilogo.

Ora è possibile utilizzare questo bucket per memorizzare i log esterni.

Passo 3: creare un gruppo di log CloudWatch

  1. Andare su CloudWatch > Gruppi di registri e creare un nuovo gruppo, ad esempio tenantxxx-lg.
  2. Seguire una procedura simile a quella di S3 :
    • Creare un criterio IAM per l'accesso al gruppo di log CloudWatch
    • Assegnare le autorizzazioni alle azioni di logs:* per il gruppo di log ARN (formato: arn:aws:logs:<account_id>:log-group:tenantxxx-lg:*)
    • Creare un nuovo ruolo per watsonx Orchestrate utilizzando lo stesso ID dell'account AWS : 239621575091
  3. Copiare l' ARN del ruolo per la registrazione.

Esempio di politica CloudWatch :

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "VisualEditor0",
        "Effect": "Allow",
        "Action": [
        "logs:ListTagsLogGroup",
        "logs:GetDataProtectionPolicy",
        "logs:DeleteDataProtectionPolicy",
        "logs:DescribeLogStreams",
        "logs:StartQuery",
        "logs:CreateLogStream",
        "logs:TagLogGroup",
        "logs:GetLogEvents",
        "logs:AssociateKmsKey",
        "logs:FilterLogEvents",
        "logs:PutDestination",
        "logs:DisassociateKmsKey",
        "logs:PutDataProtectionPolicy",
        "logs:UntagLogGroup",
        "logs:DescribeLogGroups",
        "logs:PutDestinationPolicy",
        "logs:TagResource",
        "logs:PutLogEvents",
        "logs:CreateLogGroup",
        "logs:PutRetentionPolicy",
        "logs:GetLogGroupFields"
        ],
        "Resource": "arn:aws:logs::<AWS_Account_ID>:log-group:tenantxxx-lg:*"
    }
    ]
}

Passo 4: registrare i dati di registrazione con IBM

Per abilitare l'inoltro dei log, apri un caso di assistenza con IBM{: new_window}. Includete le seguenti informazioni nella vostra richiesta:

  • watsonx Orchestrate CRN

    Per trovare il proprio CRN:

    • Accedi a watsonx Orchestrate.
    • Andare su Profilo > Informazioni.
    • Prendete uno screenshot della pagina About e allegatelo al vostro caso di assistenza.

  • Amazon S3 informazioni sul secchio

    Fornire i seguenti dettagli:

    • s3_bucket_name
    • s3_region
    • s3_role_arn

  • CloudWatch informazioni sul gruppo di log

    Fornire i seguenti dettagli:

    • cw_loggroup_name
    • cw_region
    • cw_role_arn

Dopo che IBM Support ha completato l'integrazione, si riceve una conferma.

Passo 5: Accesso ai log

  • Log di controllo

    • Si trova nel secchio Amazon S3

    • Memorizzati in formato JSON in una cartella di primo livello denominata con l'ID dell'inquilino

  • Registri di debug

    • Disponibile in CloudWatch

    • Include registri di audit e un contesto di esecuzione aggiuntivo per la risoluzione dei problemi

Nota: I registri di debug non intendono visualizzare i registri di sistema interni di watsonx Orchestrate. Poiché questi log aggiuntivi sono destinati a scopi di debug, il loro contenuto potrebbe cambiare.