Berechtigungen für die Verwendung und Verwaltung semantischer Speicher für NL2SQL

Mit SQL Search (NL2SQL) können Sie Anforderungen in natürlicher Sprache in validiertes SQL für Unternehmensdaten in OCI Generative AI konvertieren.

NL2SQL unterstützt Enterprise AI Agents bei der Arbeit mit föderierten Unternehmensdaten, ohne die zugrunde liegenden Daten zu verschieben oder zu duplizieren. Es verwendet eine semantische Anreicherungsebene, um Geschäftsbegriffe Datenbanktabellen, Spalten und Joins zuzuordnen, und generiert dann SQL aus der Eingabe in natürlicher Sprache.

NL2SQL generiert nur SQL. Die Abfrage selbst wird nicht ausgeführt. Die Abfrageausführung wird separat über den Database Tools MCP-Server abgewickelt, der die Abfrage für die Quelldatenbank autorisiert und ausführt, indem die Identität des Endbenutzers und die entsprechenden Guardrails verwendet werden.

Dieses Thema enthält die Berechtigungen, die ein IAM-Administrator einem Mandanten hinzufügen muss, damit semantische Speicher auf andere Ressourcen zugreifen können. Außerdem müssen Administratoren und Benutzer des semantischen Speichers auf die semantischen Speicher zugreifen und das NL2SQL-Tool verwenden können.

Semantische Speicheradministratoren sind Administratoren, die die semantische Speicherressource von OCI Generative AI und ihre NL2SQL-bezogenen Vorgänge erstellen, aktualisieren, löschen und verwalten.

Bitten Sie einen Administrator, eine IAM-Gruppe für die Administratoren zu erstellen. In diesem Thema wird die Admin-Gruppe wie folgt dargestellt:

allow group <semantic-store-admin> 
to manage generative-ai-semantic-store 
in compartment <compartment-with-semantic-store>

allow group <semantic-store-admin> 
to manage generative-ai-nl2sql 
in compartment <compartment-with-semantic-store>

Admin-Aufgaben mit den vorhergehenden zwei Policys verfügbar

Eine <semantic-store-admin> kann:

• semantischen Speicher erstellen
• anzeigen und aktualisieren
• löschen oder verschieben
• Triggeranreicherung
• Anreicherungsergebnisse prüfen
• SQL aus natürlicher Sprache für Validierung/Tests generieren
• NL2SQL-Vorgänge verwalten, die mit dem Speicher verknüpft sind

Semantic Store-Benutzer sind Endbenutzer, die auf einen vorhandenen semantischen Speicher zugreifen und NL2SQL-Funktionen verwenden können, die Ressource jedoch nicht verwalten müssen.

Bitten Sie einen Administrator, eine IAM-Gruppe für die Benutzer zu erstellen. In diesem Thema wird die Benutzergruppe wie folgt dargestellt:

allow group <semantic-store-users> 
to read generative-ai-semantic-store 
in compartment <compartment-with-semantic-store>

allow group <semantic-store-users> 
to read generative-ai-nl2sql 
in compartment <compartment-with-semantic-store>

Mit den vorhergehenden zwei Policen verfügbare Benutzeraufgaben

Die <semantic-store-users> kann:

• semantischen Speicher anzeigen
• Mit NL2SQL verknüpfte Funktionen verwenden
• Ausgaben prüfen und abfragen
• Informationen zur Zugriffsanreicherung

• Erstellen Sie eine dynamische Gruppe für semantische Speicher, die im Mandanten oder in einem angegebenen Compartment erstellt werden.
• Erteilen Sie der dynamischen Gruppe folgende Berechtigungen:
  • Zugriff auf Datenbanktools-Verbindungen
  • Datenbankmetadaten lesen
  • Autonomous Database-Metadaten lesen
  • Auf generative KI-Inferenz zugreifen
  • Von Datenbanktoolverbindungen verwendete Secrets lesen

1. Erstellen Sie eine dynamische Gruppe für asemantische Speicher im Mandanten mit der folgenden Abgleichsregel:

   all {resource.type='generativeaisemanticstore'}

2. Um die semantischen Speicher auf ein bestimmtes Compartment einzuschränken, aktualisieren Sie die vorherige Bedingung in:

   all {resource.type='generativeaisemanticstore',
    resource.compartment.id='<your-compartment-OCID>'}

3. Policy erstellen, um der dynamischen Gruppe die Berechtigung für den Zugriff auf Datenbanktoolverbindungen in einem angegebenen Compartment zu erteilen.

   allow dynamic-group <dynamic-group-name> 
   to use database-tools-family in compartment <your-compartment-name>'}

4. Fügen Sie eine Policy hinzu, um der dynamischen Gruppe die Berechtigung zum Lesen von Secrets zu erteilen, die von Datenbanktoolverbindungen verwendet werden.

   allow dynamic-group <dynamic-group-name> 
   to read secret-family in compartment <your-compartment-name>

5. Fügen Sie eine Policy hinzu, um der dynamischen Gruppe die Berechtigung zum Lesen von Oracle Database-Metadaten für Datenbanktoolverbindungen zu erteilen.

   allow dynamic-group <dynamic-group-name> 
   to read database-family in compartment <your-compartment-name>

6. Fügen Sie eine Policy hinzu, um der dynamischen Gruppe die Berechtigung zum Lesen von Autonomous Database-Metadaten für Datenbanktoolverbindungen und Anreicherungsjobs zu erteilen.

   allow dynamic-group <dynamic-group-name> 
   to read autonomous-database-family in compartment <your-compartment-name>

7. Fügen Sie eine Policy hinzu, um der dynamischen Gruppe die Berechtigung für den Zugriff auf die OCI Generative AI-Ressourcen für Inferenz zu erteilen.

   allow dynamic-group <dynamic-group-name> 
   to use generative-ai-family in compartment <your-compartment-name>

Was die vorhergehenden zwei Richtlinien bieten

Die Ressource generativeaisemanticstore kann:

• LLM-Inferenz über generative KI aufrufen
• Datenbanktoolverbindungen für Anreicherung und Abfrage verwenden
• Von Datenbanktools gesicherte Verbindungen erforderliche Secrets lesen
• Oracle Database- und Autonomous Database-Metadaten lesen

Fein granulierte Berechtigungen auf API-Ebene für jeden Ressourcentyp finden Sie unter Benutzerzugriff auf einzelne Ressourcen.