Oracle Cloud Infrastructure-Dokumentation

Schlüsselberechtigungen hinzufügen

Um einen OCI Generative AI-API-Schlüssel zu verwenden, erteilen Sie Berechtigungen über IAM-Policys auf Mandanten- oder Compartment-Ebene.

Diese Policys verwenden any-user als Subjekt, um Zugriff für jeden authentifizierten Principal im Mandanten zuzulassen (einschließlich Benutzer, Instanz-Principals und Ressourcen-Principals). Die WHERE-Klausel schränkt sie jedoch auf Anforderungen ein, bei denen der Principal-Typ generativeaiapikey lautet (der API-Schlüssel entspricht). Mit dieser Policy kann der Generative AI-Service API-Aufrufe mit dem Schlüssel authentifizieren und verarbeiten, ohne dass ein umfassenderer Zugriff erforderlich ist.

Ersetzen Sie any-user zur genaueren Kontrolle durch group <group-name>, um die Policy auf Mitglieder einer bestimmten Gruppe zu begrenzen (Beispiel: nur Benutzer in dieser Gruppe können die API mit dem Schlüssel aufrufen).

Passen Sie Policys nach Geltungsbereich (Compartment oder Mandant), Granularität (jeder Schlüssel im Vergleich zu einem bestimmten Schlüssel), Modelleinschränkungen oder Vorgangstypen (z.B. nur Chat) an. Vereinfachen Sie das Tool Policy Builder. Erstellen Sie Policys, bevor Sie den Schlüssel generieren, wenn Sie alle Schlüssel in einem Compartment oder für bestimmte Modelle autorisieren. Erstellen Sie zuerst den Schlüssel (um seine OCID abzurufen), wenn Sie ihn auf einen bestimmten Schlüssel beschränken.

Breite Berechtigungen: Beliebigen API-Schlüssel autorisieren

Ohne erforderliche OCID ist diese Option ideal für den allgemeinen Zugriff vor oder nach der Schlüsselerstellung (fügen Sie diese Policy hinzu, bevor Sie Schlüssel verwenden).

In einem bestimmten Compartment
allow any-user to use generative-ai-family 
in compartment <compartment-name> 
where ALL {request.principal.type='generativeaiapikey'}
Im gesamten Mandanten
allow any-user to use generative-ai-family 
in compartment <compartment-name>
where ALL {request.principal.type='generativeaiapikey', 
target.model.id in('<model-1>', 'model-2')
}

Spezifische Berechtigungen: Einzelnen API-Schlüssel autorisieren

Generieren Sie zuerst den Schlüssel, rufen Sie seine OCID ab (beginnt mit ocid1.generativeaiapikey.<region-realm>.<region-name>), und wenden Sie dann die Policy an. Informationen zum Suchen der OCID finden Sie unter Details eines API-Schlüssels abrufen.

In einem bestimmten Compartment
allow any-user to use generative-ai-family 
in compartment <compartment-name> 
where ALL {request.principal.type='generativeaiapikey', 
request.principal.id='<your-api-key-OCID>'}
Im gesamten Mandanten
allow any-user to use generative-ai-family in tenancy 
where ALL {request.principal.type='generativeaiapikey', 
request.principal.id='<your-api-key-OCID>'}

Eingeschränkte Berechtigungen: Auf Modelle oder Vorgänge beschränken

Um zusätzliche Sicherheit zu gewährleisten, beschränken Sie den Zugriff auf bestimmte Modelle oder Endpunkte (finden Sie Modell-IDs in Modellkarten oder Endpunkt-IDs in Endpunktdetails, z.B. xai.grok-4 für xAI Grok 4). Siehe Unterstützte Modelle). Verwenden Sie generative-ai-family für vollständigen Zugriff oder generative-ai-chat, um nur auf Chatendpunkte einzuschränken (ohne Einbettung, erneutes Einbetten, Modellupdates oder KI-Cluster). Siehe IAM-Policys für OCI Generative AI.

Beliebiger Schlüssel in einem Compartment für bestimmte Modelle oder Endpunkte (Lese- und Aktualisierungszugriff)
allow any-user to use generative-ai-family 
in compartment <compartment-name>
where ALL {request.principal.type='generativeaiapikey', 
target.model.id in('<model-1>', 'model-2')
}
Beliebiger Schlüssel in einem Compartment für bestimmte Modelle oder Endpunkte (nur Chat):
allow any-user to use generative-ai-chat 
in compartment <compartment-name>
where ALL {request.principal.type='generativeaiapikey', 
target.model.id in('<model-1>', 'model-2')
}