Oracle Cloud Infrastructure-Dokumentation

Zugriff auf generative KI-Agents erhalten

Sie erhalten Zugriff auf generative KI-Agents mit OCI Identity and Access Management-(IAM-)Policys.

Standardmäßig haben nur Benutzer in der Gruppe Administrators Zugriff auf alle OCI-Ressourcen, einschließlich Ressourcen für generative KI-Agents. Wenn Sie Mitglied einer anderen Gruppe sind, bitten Sie Ihren Administrator, Ihnen die geringsten Berechtigungen zuzuweisen, die zur Ausführung Ihrer Zuständigkeiten erforderlich sind, indem Sie die folgenden Abschnitte prüfen.

Policys hinzufügen, bevor Sie den Service verwenden können

Bevor Sie generative AI-Agents verwenden, bitten Sie den Administrator, die folgenden Policys hinzuzufügen:

Benutzerzugriff auf alle Ressourcen für generative KI-Agents

Benutzern Zugriff auf generative KI-Agents wie Agents, Wissensdatenbanken, Datenquellen, Datenaufnahmejobs, Agent-Sessions, Agent-Arbeitsanforderungen und Endpunkte gewähren

  • Um Zugriff auf alle generativen KI-Agents im gesamten Mandanten zu erhalten, verwenden Sie die folgende Policy:
    allow group <genai-agent-administrators> to manage genai-agent-family in tenancy
  • Um Zugriff auf alle generativen KI-Agents in Ihrem Compartment zu erhalten, verwenden Sie die folgende Policy:
    allow group <genai-agent-administrators> to manage genai-agent-family in compartment <your-compartment-name>
Wichtig

Informationen zum Auswählen bestimmter Ressourcen, auf die Benutzer zugreifen können, finden Sie unter Ressourcentypen für generative KI-Agents und Benutzern granulare Berechtigungen für jeden Ressourcentyp erteilen.

Benutzerzugriff auf Object Storage-Dateien für Datenquellen

Wenn sich die Datendateien für Ihren Agent in OCI Object Storage-Buckets befinden, benötigen Sie die Berechtigung, diese Dateien im Generative AI-Agents-Service aufzulisten und auszuwählen.

  • So erteilen Sie Benutzern die Berechtigung, Object Storage-Dateien zu ihren Wissensdatenbanken hinzuzufügen:
    allow group <your-group-name> to manage object-family in compartment <compartment-with-bucket>
Hinweis

Wenn sich die Object Storage-Dateien und -Agents in verschiedenen Compartments befinden, stellen Sie sicher, dass Benutzer, die die Agents erstellen, die Berechtigung manage object-family im Compartment mit dem Bucket haben.

Bitten Sie einen Administrator, die Beispiele in Object Storage sichern zu prüfen und Policys hinzuzufügen, die für Sie gelten, wie Policys, um das versehentliche Löschen von Buckets mit Schulungsdaten zu vermeiden.

Datenaufnahmejobzugriff auf Object Storage-Dateien für Jobs mit langer Ausführungszeit

Um große Mengen an Inhalt aus OCI Object Storage aufzunehmen, führen Sie die folgenden Schritte aus, um Resource Principals für Datenaufnahmejobs zu erstellen, die länger als 24 Stunden ausgeführt werden können.

  1. Führen Sie die Schritte unter Dynamische Gruppe erstellen mit den folgenden Besonderheiten für die Abgleichsregel aus:
    1. Wählen Sie im Abschnitt Übereinstimmungsregeln die Option Übereinstimmung mit unten definierten Regeln aus.
    2. Geben Sie die folgende Vergleichsregel ein.
      ALL {resource.type='genaiagentdataingestionjob'}

      Der Ressourcentyp genaiagentdataingestionjob ist der Resource Principal für Datenaufnahmejobs. Die vorherige Übereinstimmungsregel bedeutet, dass diese dynamische Gruppe die Jobressource für die Datenaufnahme von Generative AI Agents darstellt.

      Um die Mitgliedschaft einer dynamischen Gruppe auf Datenaufnahmejobs zu beschränken, die in einem bestimmten Compartment erstellt wurden, verwenden Sie anstelle der vorherigen Vergleichsregel Folgendes:

      ALL {resource.type = 'genaiagentdataingestionjob', 
resource.compartment.id = '<compartment-ocid-for-ingestion-jobs>'}
    3. Lassen Sie zu, dass diese dynamische Gruppe auf Object Storage-Objekte in einem angegebenen Compartment zugreift.
      allow dynamic-group <dynamic-group-name> 
to read objects in compartment <compartment-name-for-objects>
      Sie können die Policys mit weiteren Bedingungen weiter einschränken. Beispiele:
      allow dynamic-group <dynamic-group-name> 
to read objects in tenancy where all {target.compartment.id='<compartment_ocid>', 
target.bucket.name=<bucket-name>, 
target.bucket.tag.MyTagNamespace.TagKey='<MyTagValue>'}

      Weitere Beispiele zum Schreiben von Policys finden Sie unter Object Storage sichern.

      Hinweis

      Sie können den Zugriff auf Object Storage mit Bedingungen wie Bucket-Namen, Compartments und Tags einschränken. Das Einschränken des Zugriffs durch Angabe eines Objektnamens oder Präfixes in einer Policy wie target.object.name wird nicht unterstützt, und der Datenaufnahmejob verläuft möglicherweise nicht erfolgreich.
Servicezugriff auf Vault Secret für Oracle Database und OpenSearch

Wenn sich Ihre Daten im Oracle Database-Vektorspeicher oder in OCI Search mit OpenSearch befinden, führen Sie die folgenden Aufgaben aus:

  1. Führen Sie für Oracle Database-Daten die Aufgaben unter Oracle Database-Richtlinien für generative KI-Agents des RAG-Tools aus.
  2. Führen Sie für OCI Search mit OpenSearch-Daten die Aufgaben in RAG Tool OCI Search with OpenSearch Guidelines for Generative AI Agents aus.
  3. Führen Sie die Schritte unter Dynamische Gruppe erstellen mit den folgenden Besonderheiten für die Abgleichsregel aus:
    1. Wählen Sie im Abschnitt Übereinstimmungsregeln die Option Übereinstimmung mit unten definierten Regeln aus.
    2. Geben Sie die folgende Vergleichsregel ein.
      ALL {resource.type='genaiagent'}

      Der Ressourcentyp genaiagent ist der Resource Principal für Agents. Die vorhergehende Übereinstimmungsregel bedeutet, dass diese dynamische Gruppe die Agent-Ressource für generative AI-Agents darstellt.

    3. Lassen Sie zu, dass diese dynamische Gruppe mit dem Oracle Database-Vektorspeicher oder der OCI-Suche mit dem OpenSearch-Secret auf OCI Vault-Secrets im Compartment zugreift.

      Schreiben Sie die folgende Policy, die mit der Standardidentitätsdomain verwendet werden kann:

      allow dynamic-group <dynamic-group-name> 
to read secret-bundle in compartment <compartment-name>

      Verwenden Sie die folgende Policy mit einer Identitätsdomain, die nicht standardmäßig ist, und geben Sie den Oracle Identity Cloud Service-(IDCS-)Domainnamen und den Namen der dynamischen Gruppe an: 

      allow dynamic-group '<idcs-domain-name>/<dynamic-group-name>' 
to read secret-bundle in compartment <compartment-name>
Servicezugriff auf Oracle Database-Tools

Wenn sich Ihre Daten in Oracle Database 23ai befinden, ermöglichen Sie der dynamischen Gruppe, die Sie für den Servicezugriff auf OCI Vault erstellt haben, den Zugriff auf auch OCI-Datenbanktools.

Schreiben Sie die folgende Policy, die mit der Standardidentitätsdomain verwendet werden kann:

allow dynamic-group <dynamic-group-name> 
to read database-tools-family in compartment <compartment-name>

Verwenden Sie die folgende Policy mit einer Identitätsdomain, die nicht standardmäßig ist, und geben Sie den Oracle Identity Cloud Service-(IDCS-)Domainnamen und den Namen der dynamischen Gruppe an: 

allow dynamic-group '<idcs-domain-name>/<dynamic-group-name>' 
to read database-tools-family in compartment <compartment-name>

Ressourcentypen für generative KI-Agents

Generative AI-Agents haben die folgenden individuellen Ressourcentypen, die in Identity and Access Management-Policys verwendet werden müssen. Sie können verschiedenen Benutzergruppen unterschiedliche Berechtigungen zuweisen, je nachdem, wie sie die folgenden Ressourcentypen verwenden können:

  • genai-agent: Ein Agent
  • genai-agent-knowledge-base: Die Wissensdatenbank, die mit einem Agent verknüpft ist.
  • genai-agent-data-source: Die Datenquelle, die mit einer Wissensdatenbank verknüpft ist
  • genai-agent-data-ingestion-job: Der Job, der Daten aus einer Datenquelle aufnimmt.
  • genai-agent-endpoint: Ein Endpunkt für den Zugriff auf den Agent
  • genai-agent-work-request: Die Arbeitsanforderung für Vorgänge von generativen KI-Agents
  • genai-agent-session: Chatsession eines Agent
  • genai-agent-tool: Ein Tool, das in einem Agent konfiguriert ist
Zusätzlich zu den oben aufgeführten einzelnen Ressourcentypen können Sie den aggregierten Ressourcentyp genai-agent-family verwenden, um alle sieben Ressourcentypen für generative KI-Agents in eine Policy aufzunehmen. Beispiel: 
allow group <genai-agent-administrators> to manage genai-agent-family in tenancy
Aggregierter Ressourcentyp Einbezogene einzelne Ressourcenarten
genai-agent-family
  • genai-agent
  • genai-agent-knowledge-base
  • genai-agent-data-source
  • genai-agent-data-ingestion-job
  • genai-agent-endpoint
  • genai-agent-work-request
  • genai-agent-session
  • genai-agent-tool

Benutzern granulare Berechtigungen für jeden Ressourcentyp erteilen

In diesem Abschnitt werden die Berechtigungen für Vorgänge mit generativen KI-Agents aufgeführt. Die Zugriffsebene ist kumulativ von inspect zu read zu use zu manage. Beispiel: Wenn Sie die Berechtigung manage für den Ressourcentyp genai-agent-endpoint haben, können Sie Endpunkte auflisten, ihre Details abrufen, sie erstellen und löschen. Sie benötigen keine weitere Berechtigung zum Prüfen (inspect) der Endpunkte. Blenden Sie jeden Ressourcentyp für seine Berechtigungen ein.

genai-agent
Berechtigung API-Vorgänge Vorgangstyp Verb
GENAI_AGENT_INSPECT ListAgents GET inspect
GENAI_AGENT_READ GetAgent GET read
GENAI_AGENT_UPDATE UpdateAgent PUT use
GENAI_AGENT_MOVE ChangeAgentCompartment POST manage
GENAI_AGENT_CREATE CreateAgent POST manage
GENAI_AGENT_DELETE DeleteAgent DELETE manage

Beispiel:

allow group GenAI-agents-users to use genai-agent in compartment GenAI-agents-compartment
genai-agent-knowledge-base
Berechtigung API-Vorgänge Vorgangstyp Verb
GENAI_AGENT_KNOWLEDGE_BASE_INSPECT ListKnowledgeBases GET inspect
GENAI_AGENT_KNOWLEDGE_BASE_READ GetKnowledgeBase GET read
GENAI_AGENT_KNOWLEDGE_BASE_UPDATE UpdateKnowledgeBase PUT use
GENAI_AGENT_KNOWLEDGE_BASE_MOVE ChangeKnowledgeBaseCompartment POST manage
GENAI_AGENT_KNOWLEDGE_BASE_CREATE CreateKnowledgeBase POST manage
GENAI_AGENT_KNOWLEDGE_BASE_DELETE DeleteKnowledgeBase DELETE manage

Beispiel:

allow group GenAI-agents-users to manage genai-agent-knowledge-base in compartment GenAI-agents-compartment
genai-agent-data-source
Berechtigung API-Vorgänge Vorgangstyp Verb
GENAI_AGENT_DATA_SOURCE_INSPECT ListDataSources GET inspect
GENAI_AGENT_DATA_SOURCE_READ GetDataSource GET read
GENAI_AGENT_DATA_SOURCE_UPDATE UpdateDataSource PUT use
GENAI_AGENT_DATA_SOURCE_MOVE ChangeDataSourceCompartment POST manage
GENAI_AGENT_DATA_SOURCE_CREATE CreateDataSource POST manage
GENAI_AGENT_DATA_SOURCE_DELETE DeleteDataSource DELETE manage

Beispiel: 

allow group GenAI-agents-users to inspect genai-agent-data-source in compartment GenAI-agents-compartment
genai-agent-data-ingestion-job
Berechtigung API-Vorgänge Vorgangstyp Verb
GENAI_AGENT_DATA_INGESTION_JOB_INSPECT ListDataIngestionJobs GET inspect
GENAI_AGENT_DATA_INGESTION_JOB_READ GetDataIngestionJob GET read
GENAI_AGENT_DATA_INGESTION_JOB_CREATE CreateDataIngestionJob POST manage
GENAI_AGENT_DATA_INGESTION_JOB_DELETE DeleteDataIngestionJob DELETE manage

Beispiel: 

allow group GenAI-agents-users to inspect genai-agent-data-ingestion-job in compartment GenAI-agents-compartment
genai-agent-endpoint
Berechtigung API-Vorgänge Vorgangstyp Verb
GENAI_AGENT_ENDPOINT_INSPECT ListAgentEndpoints GET inspect
GENAI_AGENT_ENDPOINT_READ GetAgentEndpoint GET read
GENAI_AGENT_ENDPOINT_UPDATE UpdateAgentEndpoint PUT use
GENAI_AGENT_ENDPOINT_MOVE ChangeAgentEndpointCompartment POST use
GENAI_AGENT_ENDPOINT_CREATE CreateAgentEndpoint POST manage
GENAI_AGENT_ENDPOINT_CHAT Chat POST use
GENAI_AGENT_ENDPOINT_DELETE DeleteAgentEndpoint DELETE manage

Beispiel: 

allow group GenAI-agents-users to manage genai-agent-endpoint in compartment GenAI-agents-compartment
genai-agent-work-request
Berechtigung API-Vorgänge Vorgangstyp Verb
GENAI_AGENT_WORK_REQUEST_INSPECT ListWorkRequests GET inspect
GENAI_AGENT_WORK_REQUEST_READ GetWorkRequest GET read
GENAI_AGENT_WORK_REQUEST_ERRORS_READ GetWorkRequestErrors GET read
GENAI_AGENT_WORK_REQUEST_LOGS_READ GetWorkRequestLogs GET read

Beispiel: 

allow group GenAI-agents-users to read genai-agent-work-request in compartment GenAI-agents-compartment
genai-agent-session
Berechtigung API-Vorgänge Vorgangstyp Verb
GENAI_AGENT_SESSION_INSPECT ListSessions GET inspect
GENAI_AGENT_SESSION_READ GetSession GET read
GENAI_AGENT_SESSION_UPDATE UpdateSession PUT use
GENAI_AGENT_SESSION_CREATE CreateSession POST manage
GENAI_AGENT_SESSION_END EndSession POST manage
GENAI_AGENT_SESSION_DELETE DeleteSession DELETE manage

Beispiel: 

allow group GenAI-agents-users to manage genai-agent-session in compartment GenAI-agents-compartment
genai-agent-tool
Berechtigung API-Vorgänge Vorgangstyp Verb
GENAI_AGENT_TOOL_INSPECT ListTools GET inspect
GENAI_AGENT_TOOL_READ GetTool GET read
GENAI_AGENT_TOOL_UPDATE UpdateTool PUT use
GENAI_AGENT_TOOL_CREATE CreateTool POST manage
GENAI_AGENT_TOOL_DELETE DeleteTool DELETE manage

Beispiel: 

allow group GenAI-agents-users to use genai-agent-tool in compartment GenAI-agents-compartment

Berechtigungen für API-Vorgänge abgleichen

In der folgenden Tabelle werden die Berechtigungen aufgeführt, die für API-Vorgänge von Generative AI-Agents erforderlich sind.

Diese Berechtigungstabelle einblenden
API-Vorgang Für den Vorgang erforderliche Berechtigungen
ListAgents GENAI_AGENT_INSPECT
GetAgent GENAI_AGENT_READ
UpdateAgent GENAI_AGENT_UPDATE
ChangeAgentCompartment GENAI_AGENT_MOVE
CreateAgent GENAI_AGENT_CREATE
DeleteAgent GENAI_AGENT_DELETE
ListKnowledgeBases GENAI_AGENT_KNOWLEDGE_BASE_INSPECT
GetKnowledgeBase GENAI_AGENT_KNOWLEDGE_BASE_READ
UpdateKnowledgeBase GENAI_AGENT_KNOWLEDGE_BASE_UPDATE
ChangeKnowledgeBaseCompartment GENAI_AGENT_KNOWLEDGE_BASE_MOVE
CreateKnowledgeBase GENAI_AGENT_KNOWLEDGE_BASE_CREATE
DeleteKnowledgeBase GENAI_AGENT_KNOWLEDGE_BASE_DELETE
ListDataSources GENAI_AGENT_DATA_SOURCE_INSPECT
GetDataSource GENAI_AGENT_DATA_SOURCE_READ
UpdateDataSource GENAI_AGENT_DATA_SOURCE_UPDATE
ChangeDataSourceCompartment GENAI_AGENT_DATA_SOURCE_MOVE
CreateDataSource GENAI_AGENT_DATA_SOURCE_CREATE
DeleteDataSource GENAI_AGENT_DATA_SOURCE_DELETE
ListDataIngestionJobs GENAI_AGENT_DATA_INGESTION_JOB_INSPECT
GetDataIngestionJob GENAI_AGENT_DATA_INGESTION_JOB_READ
CreateDataIngestionJob GENAI_AGENT_DATA_INGESTION_JOB_CREATE
DeleteDataIngestionJob GENAI_AGENT_DATA_INGESTION_JOB_DELETE
ListAgentEndpoints GENAI_AGENT_ENDPOINT_INSPECT
GetAgentEndpoint GENAI_AGENT_ENDPOINT_READ
UpdateAgentEndpoint GENAI_AGENT_ENDPOINT_UPDATE
ChangeAgentEndpointCompartment GENAI_AGENT_ENDPOINT_MOVE
CreateAgentEndpoint AGENAI_AGENT_ENDPOINT_CREATE
DeleteAgentEndpoint GENAI_AGENT_ENDPOINT_DELETE
Chat GENAI_AGENT_ENDPOINT_CHAT
ListTools GENAI_AGENT_TOOL_INSPECT
CreateTool GENAI_AGENT_TOOL_CREATE
GetTool GENAI_AGENT_TOOL_READ
UpdateTool GENAI_AGENT_TOOL_UPDATE
DeleteTool GENAI_AGENT_TOOL_DELETE
ListSessions GENAI_AGENT_SESSION_INSPECT
GetSession GENAI_AGENT_SESSION_READ
UpdateSession GENAI_AGENT_SESSION_UPDATE
CreateSession GENAI_AGENT_SESSION_CREATE
EndSession GENAI_AGENT_SESSION_END
DeleteSession GENAI_AGENT_SESSION_DELETE
ListWorkRequests GENAI_AGENT_WORK_REQUEST_INSPECT
GetWorkRequest GENAI_AGENT_WORK_REQUEST_READ
GetWorkRequestErrors GENAI_AGENT_WORK_REQUEST_ERRORS_READ
GetWorkRequestLogs GENAI_AGENT_WORK_REQUEST_LOGS_READ