Berechtigungen für das Deployment von Anwendungen

In diesem Thema werden die IAM-Berechtigungen beschrieben, die zum Deployment generativer KI-Anwendungen in OCI erforderlich sind. Es beschreibt den Zugriff, der für Benutzer zum Erstellen und Verwalten von Anwendungen und Deployments erforderlich ist, sowie die Berechtigungen, die für Anwendungen zum Abrufen von Docker-Images aus OCIR erforderlich sind.

Informationen zu Deployments

Anwendungen bieten eine verwaltete Laufzeit für generative KI-Workloads, einschließlich Skalierung, Speicher, Umgebungsvariablen, Networking (Egress und Endpunkte) und Authentifizierung über eine Identitätsdomain.
Deployments in einer Anwendung geben ein OCIR-Docker-Image (als Artefakt bezeichnet) für das Deployment der Anwendung an.
Vor dem Deployment scannt der OCI Vulnerability Scanning-Service das Docker-Image. Deployment nicht erfolgreich, wenn der Scan kritische Sicherheitslücken findet.
Typischer Deployment-Workflow
1. Anwendung erstellen.
2. Deployment hinzufügen.
3. Docker-Image bereitstellen.

Erforderliche Berechtigungen

Vor der Erstellung von Bewerbungen einrichten

Für OCI Vulnerability Scanning-Service

Erteilen Sie dem Service die Berechtigung, die Repositorys zu lesen, in denen die Docker-Images gespeichert sind, damit er sie vor dem Deployment scannen kann.

Für Anwendungen

Erstellen Sie eine dynamische Gruppe für Anwendungen, die in einem angegebenen Compartment oder Mandanten erstellt wurden.
Erteilen Sie der dynamischen Gruppe die Berechtigung zum Lesen von OCIR-Repositorys im angegebenen Compartment.
Erteilen Sie der dynamischen Gruppe die Berechtigung zum Lesen der Ergebnisse des Sicherheitslückenscans, damit die Anwendung prüfen kann, ob das Image den Scan vor dem Deployment durchläuft.

Für Nutzer

Zugriff auf Anwendungsressourcen.
Zugriff auf Deployment-Ressourcen.
Zugriff auf Artefaktressourcen (Docker-Images).

Für OCI Vulnerability Scanning Service

Erteilen Sie dem Service die Berechtigung, die Repositorys zu lesen, in denen die Docker-Images gespeichert sind, damit er sie vor dem Deployment scannen kann.

allow service vulnerability-scanning-service 
to read compartments in compartment <compartement-with-repos>

allow service vulnerability-scanning-service 
to read repos in compartment <compartement-with-repos>

Für OCI Generative AI-Anwendungen

Erstellen Sie eine dynamische Gruppe für Anwendungen und deren Deployments, die im Mandanten oder in einem angegebenen Compartment erstellt werden.
Erteilen Sie der dynamischen Gruppe die Berechtigung zum Lesen von OCIR-Repositorys im angegebenen Compartment.
Erteilen Sie der dynamischen Gruppe die Berechtigung zum Lesen der Ergebnisse des Sicherheitslückenscans, damit die Anwendung prüfen kann, ob das Image den Scan vor dem Deployment durchläuft.

Erstellen Sie eine dynamische Gruppe für Anwendungen und Deployments im Mandanten mit der folgenden Abgleichsregel:
```
all {resource.type='generativeaihostedapplication',
resource.type='generativeaihosteddeployment'}
```

Um die Anwendungen und ihre Deployments auf ein bestimmtes Compartment einzuschränken, aktualisieren Sie die vorherige Bedingung in:

all {resource.type='generativeaihostedapplication',
resource.type='generativeaihosteddeployment',
resource.compartment.id='<your-compartment-OCID>'}

Erstellen Sie eine Policy, um der dynamischen Gruppe die Berechtigung zum Lesen von OCIR-Repositorys in einem angegebenen Compartment zu erteilen.
```
Allow dynamic-group <dynamic-group-name> 
to read repos in compartment <your-compartment-name>'}
```
Fügen Sie eine weitere Policy hinzu, um der dynamischen Gruppe die Berechtigung zum Lesen der Ergebnisse von Sicherheitslückenscans zu erteilen, damit die Anwendung prüfen kann, ob das Image den Scan vor dem Deployment durchläuft.
```
 Allow dynamic-group <dynamic-group-name> 
to read vss-family in compartment <your-compartment-name>
```
Wenn ein Agent auf andere OCI-Ressourcen zugreifen muss, fügen Sie eine Policy hinzu, um die Ressourcen dieses Service zu lesen. Beispiele:

Beispiel für Agent-Zugriff auf Object Storage

Erteilen Sie der gehosteten Deployment-Berechtigung zum Lesen aus Object Storage in Ihrem Compartment.
```
 Allow dynamic-group <dynamic-group-name> 
to read object-family in compartment <your-compartment-name>
```
Weitere Beispiele finden Sie unter Allgemeine Policys.

QuickStart Berechtigungen für Benutzer

So zeigen Sie Ressourcen an

Fügen Sie die minimale IAM-Policy hinzu, um Anwendungen, Deployments und Artefakte anzuzeigen.

allow group <your-group-name> 
to use generative-ai-hosted-application in compartment <your-compartment-name>

allow group <your-group-name> 
to use generativeaihosteddeployment in compartment <your-compartment-name>

So verwalten Sie Ressourcen

Wenn Sie Anwendungen, Deployments und Artefakte erstellen und löschen, fügen Sie die Berechtigung manage hinzu:

allow group <your-group-name> 
to manage generative-ai-hosted-application in compartment <your-compartment>

allow group <your-group-name> 
to manage generativeaihosteddeployment in compartment <your-compartment>

Tipp

Die Ressourcentypen generative-ai-hosted-application und generativeaihosteddeployment sind im Ressourcentyp generative-ai-family enthalten.

Wenn Sie die Erlaubnis für die Familie haben, zum Beispiel:

allow group <your-group-name> to manage generative-ai-family 
in compartment <your-compartment-name>

dann müssen Sie die Berechtigungen in diesem Abschnitt nicht hinzufügen.

Berechtigungen auf API-Ebene

Fein granulierte Berechtigungen auf API-Ebene für jeden Ressourcentyp finden Sie unter Benutzerzugriff auf einzelne Ressourcen.