Permisos para desplegar aplicaciones

En este tema se describen los permisos de IAM necesarios para desplegar aplicaciones de IA generativa en OCI. Describe el acceso necesario para que los usuarios creen y gestionen aplicaciones y despliegues, así como los permisos necesarios para que las aplicaciones recuperen imágenes de Docker de OCIR.

Acerca de los despliegues

Las aplicaciones proporcionan un tiempo de ejecución gestionado para cargas de trabajo de IA generativa, que incluye escalado, almacenamiento, variables de entorno, redes (puntos finales y de salida) y autenticación a través de un dominio de identidad.
Los despliegues de una aplicación especifican una imagen de Docker de OCIR (denominada artefacto) para desplegar la aplicación.
Antes del despliegue, el servicio OCI Vulnerability Scanning explora la imagen de Docker. El despliegue falla si la exploración encuentra vulnerabilidades críticas.
Flujo de trabajo de despliegue típico
1. Cree una aplicación.
2. Agregar un despliegue.
3. Despliegue de la Imagen de Docker.

Permisos necesarios

Configurar antes de crear aplicaciones.

Para el servicio OCI Vulnerability Scanning

Otorgue al servicio permiso para leer los repositorios que almacenan las imágenes de Docker para que puedan escanearlas antes del despliegue.

Para aplicaciones

Cree un grupo dinámico para las aplicaciones creadas en un compartimento o arrendamiento especificados.
Otorgue el permiso de grupo dinámico para leer repositorios de OCIR en el compartimento especificado.
Otorgue el permiso de grupo dinámico para leer los resultados del análisis de vulnerabilidades para que la aplicación pueda verificar que la imagen supera el análisis antes del despliegue.

Para usuarios

Acceso a recursos de aplicación.
Acceso a recursos de despliegue.
Acceso a recursos de artefacto (imágenes de Docker).

Para el servicio de análisis de vulnerabilidades de OCI

Otorgue al servicio permiso para leer los repositorios que almacenan las imágenes de Docker para que puedan escanearlas antes del despliegue.

allow service vulnerability-scanning-service 
to read compartments in compartment <compartement-with-repos>

allow service vulnerability-scanning-service 
to read repos in compartment <compartement-with-repos>

Para aplicaciones OCI Generative AI

Cree un grupo dinámico para las aplicaciones y sus despliegues que se creen en el arrendamiento o en un compartimento especificado.
Otorgue el permiso de grupo dinámico para leer repositorios de OCIR en el compartimento especificado.
Otorgue el permiso de grupo dinámico para leer los resultados del análisis de vulnerabilidades para que la aplicación pueda verificar que la imagen supera el análisis antes del despliegue.

Cree un grupo dinámico para aplicaciones y despliegues en el arrendamiento con la siguiente regla de coincidencia:
```
all {resource.type='generativeaihostedapplication',
resource.type='generativeaihosteddeployment'}
```

Para restringir las aplicaciones y sus despliegues a un compartimento específico, actualice la condición anterior para:

all {resource.type='generativeaihostedapplication',
resource.type='generativeaihosteddeployment',
resource.compartment.id='<your-compartment-OCID>'}

Cree una política para otorgar al grupo dinámico permiso para leer repositorios de OCIR en un compartimento especificado.
```
Allow dynamic-group <dynamic-group-name> 
to read repos in compartment <your-compartment-name>'}
```
Agregue otra política para otorgar al grupo dinámico permiso para leer los resultados de la exploración de vulnerabilidades para que la aplicación pueda verificar que la imagen supera la exploración antes del despliegue.
```
 Allow dynamic-group <dynamic-group-name> 
to read vss-family in compartment <your-compartment-name>
```
Si un agente necesita acceder a otros recursos de OCI, agregue una política para leer los recursos de ese servicio. Para ejemplos,

Ejemplo de acceso de agente a Object Storage

Otorgue el permiso de despliegue alojado para leer desde Object Storage en su compartimento.
```
 Allow dynamic-group <dynamic-group-name> 
to read object-family in compartment <your-compartment-name>
```
Para obtener más ejemplos, consulte Políticas comunes.

QuickStart Permisos para usuarios

Para ver los recursos

Agregue la política de IAM mínima para ver aplicaciones, despliegues y artefactos.

allow group <your-group-name> 
to use generative-ai-hosted-application in compartment <your-compartment-name>

allow group <your-group-name> 
to use generativeaihosteddeployment in compartment <your-compartment-name>

Para gestionar recursos

Si crea y suprime aplicaciones, despliegues y artefactos, agregue el permiso manage:

allow group <your-group-name> 
to manage generative-ai-hosted-application in compartment <your-compartment>

allow group <your-group-name> 
to manage generativeaihosteddeployment in compartment <your-compartment>

Consejo

Los tipos de recursos generative-ai-hosted-application y generativeaihosteddeployment se incluyen en el tipo de recurso generative-ai-family.

Si tiene permiso para la familia, por ejemplo:

allow group <your-group-name> to manage generative-ai-family 
in compartment <your-compartment-name>

No es necesario que agregue los permisos en esta sección.

Permisos de nivel de API

Consulte Acceso de usuario a recursos individuales para obtener permisos de nivel de API detallados para cada tipo de recurso.