Documentación de Oracle Cloud Infrastructure

Adición de permisos clave

Para utilizar una clave de API de OCI Generative AI, otorgue permiso a través de políticas de IAM de nivel de arrendamiento o de compartimento.

Estas políticas utilizan any-user como sujeto para permitir el acceso a cualquier principal autenticado en el arrendamiento (incluidos usuarios, principales de instancia y principales de recurso), pero la cláusula WHERE lo restringe a solicitudes en las que el tipo de principal es generativeaiapikey (coincidencia de la clave de API). Con esta política, el servicio de IA generativa puede autenticar y procesar llamadas de API mediante la clave sin un acceso más amplio.

Para un control más preciso, sustituya any-user por group <group-name> para limitar la política a los miembros de un grupo específico (por ejemplo, solo permite que los usuarios de ese grupo llamen a la API con la clave).

Personalice las políticas por ámbito (compartimento o arrendamiento), granularidad (cualquier clave en comparación con una específica), restricciones de modelo o tipos de operación (por ejemplo, solo chat). Utilice la herramienta Policy Builder para obtener simplicidad. Cree políticas antes de generar la clave si autoriza todas las claves en un compartimento o para determinados modelos, cree primero la clave (para obtener su OCID) si se limita a una clave específica.

Amplios permisos: autorizar cualquier clave de API

Sin OCID necesario, esta opción es ideal para el acceso general antes o después de la creación de la clave (agregue esta política antes de utilizar claves).

En un compartimento específico
allow any-user to use generative-ai-family 
in compartment <compartment-name> 
where ALL {request.principal.type='generativeaiapikey'}
En todo el arrendamiento
allow any-user to use generative-ai-family 
in compartment <compartment-name>
where ALL {request.principal.type='generativeaiapikey', 
target.model.id in('<model-1>', 'model-2')
}

Permisos específicos: autorizar una única clave de API

Genere primero la clave, recupere su OCID (empieza por ocid1.generativeaiapikey.<region-realm>.<region-name>) y, a continuación, aplique la política. Consulte Obtención de detalles de una clave de API para buscar el OCID.

En un compartimento específico
allow any-user to use generative-ai-family 
in compartment <compartment-name> 
where ALL {request.principal.type='generativeaiapikey', 
request.principal.id='<your-api-key-OCID>'}
En todo el arrendamiento
allow any-user to use generative-ai-family in tenancy 
where ALL {request.principal.type='generativeaiapikey', 
request.principal.id='<your-api-key-OCID>'}

Permisos restringidos: límite a modelos u operaciones

Para mayor seguridad, acceda de forma estrecha a modelos o puntos finales específicos (busque ID de modelo en tarjetas de modelo o ID de punto final en los detalles de punto final, por ejemplo, xai.grok-4 para xAI Grok 4. Consulte Supported Models). Utilice generative-ai-family para obtener acceso completo o generative-ai-chat para restringir solo a puntos finales de chat (excluyendo embeber, volver a clasificar, actualizaciones de modelos o clusters de IA). Consulte Obtención de acceso a la IA generativa.

Cualquier clave de un compartimento para modelos o puntos finales específicos (acceso completo de lectura y actualización)
allow any-user to use generative-ai-family 
in compartment <compartment-name>
where ALL {request.principal.type='generativeaiapikey', 
target.model.id in('<model-1>', 'model-2')
}
Cualquier clave de un compartimento para modelos o puntos finales específicos (solo chat):
allow any-user to use generative-ai-chat 
in compartment <compartment-name>
where ALL {request.principal.type='generativeaiapikey', 
target.model.id in('<model-1>', 'model-2')
}