Documentation sur Oracle Cloud Infrastructure

Accès aux agents d'intelligence artificielle générative

Vous pouvez accéder aux ressources des agents d'intelligence artificielle générative avec les politiques de gestion des identités et des accès (IAM) OCI.

Par défaut, seuls les utilisateurs du groupe Administrators ont accès à toutes les ressources OCI, y compris les ressources des agents d'IA générative. Si vous êtes membre d'un autre groupe, demandez à votre administrateur de vous affecter le moins de privilèges requis pour exécuter vos responsabilités en consultant les sections suivantes.

Ajout de politiques avant de pouvoir utiliser le service

Avant d'utiliser des agents IA génératifs, demandez à l'administrateur d'ajouter les politiques suivantes :

Accès de l'utilisateur à toutes les ressources des agents d'IA génératifs

Donner aux utilisateurs l'accès aux ressources des agents d'IA génératifs telles que les agents, les bases de connaissances, les sources de données, les tâches d'ingestion de données, les sessions d'agent, les demandes de travail d'agent et les points d'extrémité

  • Pour accéder à toutes les ressources des agents d'IA génératifs dans l'ensemble de la location, utilisez la politique suivante :
    allow group <genai-agent-administrators> to manage genai-agent-family in tenancy
  • Pour accéder à toutes les ressources des agents d'IA génératifs de votre compartiment, utilisez la politique suivante :
    allow group <genai-agent-administrators> to manage genai-agent-family in compartment <your-compartment-name>
Important

Pour sélectionner uniquement des ressources spécifiques auxquelles les utilisateurs peuvent accéder, voir À propos des types de ressource des agents d'IA générative et Donner aux utilisateurs une autorisation granulaire pour chaque type de ressource.

Accès des utilisateurs aux fichiers de stockage d'objets pour les sources de données

Si les fichiers de données de votre agent se trouvent dans des seaux de stockage d'objets OCI, vous devez disposer d'une autorisation pour lister et sélectionner ces fichiers dans le service Agents d'intelligence artificielle génératifs.

  • Pour autoriser les utilisateurs à ajouter des fichiers de stockage d'objets à leurs bases de connaissances :
    allow group <your-group-name> to manage object-family in compartment <compartment-with-bucket>
Note

Si les fichiers et les agents du service de stockage d'objets se trouvent dans des compartiments différents, assurez-vous que les utilisateurs qui créent les agents disposent de l'autorisation manage object-family dans le compartiment avec le seau.

Demandez à un administrateur de réviser les exemples sous Sécurisation du stockage d'objets et d'ajouter des politiques qui s'appliquent à vous, telles que des politiques, pour éviter la suppression accidentelle de seaux contenant des données d'entraînement.

Accès à la tâche d'ingestion de données aux fichiers de stockage d'objets pour les tâches de longue durée

Pour ingérer de grandes quantités de contenu à partir du service de stockage d'objets pour OCI, suivez ces étapes pour créer des principaux de ressource pour les tâches d'ingestion de données qui peuvent s'exécuter plus de 24 heures.

  1. Suivez les étapes sous Création d'un groupe dynamique avec les spécificités suivantes pour la règle de correspondance :
    1. Dans la section Règles de correspondance, sélectionnez Correspondance avec les règles définies ci-dessous.
    2. Entrez la règle de correspondance suivante.
      ALL {resource.type='genaiagentdataingestionjob'}

      Le type de ressource genaiagentdataingestionjob est le principal de ressource pour les tâches d'ingestion de données. La règle de correspondance précédente signifie que ce groupe dynamique représente la ressource de tâche d'ingestion de données des agents d'IA génératifs.

      Pour limiter l'appartenance à un groupe dynamique aux tâches d'ingestion de données créées dans un compartiment spécifique, au lieu de la règle de correspondance précédente, utilisez la suivante :

      ALL {resource.type = 'genaiagentdataingestionjob', 
resource.compartment.id = '<compartment-ocid-for-ingestion-jobs>'}
    3. Autoriser ce groupe dynamique à accéder aux objets de stockage d'objets dans un compartiment spécifié.
      allow dynamic-group <dynamic-group-name> 
to read objects in compartment <compartment-name-for-objects>
      Vous pouvez restreindre davantage les règles avec plus de conditions. Exemple :
      allow dynamic-group <dynamic-group-name> 
to read objects in tenancy where all {target.compartment.id='<compartment_ocid>', 
target.bucket.name=<bucket-name>, 
target.bucket.tag.MyTagNamespace.TagKey='<MyTagValue>'}

      Pour plus d'exemples sur l'écriture de politiques, voir Sécurisation du stockage d'objets.

      Note

      Vous pouvez restreindre l'accès au stockage d'objets à l'aide de conditions qui incluent des noms de seau, des compartiments et des marqueurs. La restriction de l'accès en spécifiant un nom d'objet ou un préfixe dans une politique, par exemple target.object.name, n'est pas prise en charge et la tâche d'ingestion de données peut échouer.
Accès du service à la clé secrète de la chambre forte pour Oracle Database et OpenSearch

Si vos données se trouvent dans le magasin de vecteurs Oracle Database ou dans la recherche OCI avec OpenSearch, effectuez les tâches suivantes :

  1. Pour les données Oracle Database, effectuez les tâches décrites dans les Directives Oracle Database pour les agents d'IA générative de l'outil RAG.
  2. Pour la recherche OCI avec les données OpenSearch, effectuez les tâches dans Recherche OCI avec OpenSearch directives pour les agents d'IA générative.
  3. Suivez les étapes sous Création d'un groupe dynamique avec les spécificités suivantes pour la règle de correspondance :
    1. Dans la section Règles de correspondance, sélectionnez Correspondance avec les règles définies ci-dessous.
    2. Entrez la règle de correspondance suivante.
      ALL {resource.type='genaiagent'}

      Le type de ressource genaiagent est le principal de ressource pour les agents. La règle de correspondance précédente signifie que ce groupe dynamique représente la ressource d'agent Agents d'IA génératifs.

    3. Autorisez ce groupe dynamique à accéder aux clés secrètes de chambre forte OCI dans le compartiment avec votre magasin de vecteurs Oracle Database ou la recherche OCI avec la clé secrète OpenSearch.

      Écrivez la politique suivante, qui peut être utilisée avec le domaine d'identité par défaut :

      allow dynamic-group <dynamic-group-name> 
to read secret-bundle in compartment <compartment-name>

      Utilisez la politique suivante avec un domaine d'identité pas par défaut, en fournissant le nom de domaine Oracle Identity Cloud Service (IDCS) et le nom de groupe dynamique : 

      allow dynamic-group '<idcs-domain-name>/<dynamic-group-name>' 
to read secret-bundle in compartment <compartment-name>
Accès du service aux outils Oracle Database

Si vos données se trouvent dans Oracle Database 23ai, autorisez le groupe dynamique, que vous avez créé pour le service d'accès au service de chambre forte OCI, à accéder également aux outils de base de données OCI.

Écrivez la politique suivante, qui peut être utilisée avec le domaine d'identité par défaut :

allow dynamic-group <dynamic-group-name> 
to read database-tools-family in compartment <compartment-name>

Utilisez la politique suivante avec un domaine d'identité pas par défaut, en fournissant le nom de domaine Oracle Identity Cloud Service (IDCS) et le nom de groupe dynamique : 

allow dynamic-group '<idcs-domain-name>/<dynamic-group-name>' 
to read database-tools-family in compartment <compartment-name>

À propos des types de ressource des agents d'IA génératifs

Les agents IA génératifs ont les types de ressource individuels suivants à utiliser dans les politiques de gestion des identités et des accès. Vous pouvez affecter différentes autorisations aux différents groupes d'utilisateurs en fonction de la façon dont ils peuvent utiliser les types de ressource suivants :

  • genai-agent : Agent
  • genai-agent-knowledge-base : Base de connaissances associée à un agent.
  • genai-agent-data-source : Source de données associée à une base de connaissances
  • genai-agent-data-ingestion-job : Tâche qui ingère des données à partir d'une source de données.
  • genai-agent-endpoint : Point d'extrémité permettant d'accéder à l'agent
  • genai-agent-work-request : Demande de travail pour les opérations des agents IA génératifs
  • genai-agent-session : Session de clavardage d'un agent
  • genai-agent-tool : Outil configuré dans un agent
En plus des types de ressource individuels listés précédents, vous pouvez utiliser le type de ressource agrégé genai-agent-family pour inclure les sept types de ressource d'agents d'IA génératifs dans une politique, par exemple : 
allow group <genai-agent-administrators> to manage genai-agent-family in tenancy
Type de ressource agrégé Types de ressource individuels inclus
genai-agent-family
  • genai-agent
  • genai-agent-knowledge-base
  • genai-agent-data-source
  • genai-agent-data-ingestion-job
  • genai-agent-endpoint
  • genai-agent-work-request
  • genai-agent-session
  • genai-agent-tool

Donner aux utilisateurs une autorisation granulaire pour chaque type de ressource

Cette section liste les autorisations pour les opérations des agents d'IA génératifs. Le niveau d'accès est cumulatif au fur et à mesure que vous progressez depuis inspect à read, use et manage. Par exemple, si vous disposez de l'autorisation manage sur le type de ressource genai-agent-endpoint, vous pouvez lister, afficher les détails des points d'extrémité, les créer et les supprimer, et en afficher les détails. Vous n'avez pas besoin de l'autorisation inspect sur les points d'extrémité. Développez chaque type de ressource pour ses autorisations.

agent génaï
Permission Opérations d'API Type d'opération Verbe
GENAI_AGENT_INSPECT ListAgents GET inspect
GENAI_AGENT_READ GetAgent GET read
GENAI_AGENT_UPDATE UpdateAgent PUT use
GENAI_AGENT_MOVE ChangeAgentCompartment POST manage
GENAI_AGENT_CREATE CreateAgent POST manage
GENAI_AGENT_DELETE DeleteAgent DELETE manage

Exemple :

allow group GenAI-agents-users to use genai-agent in compartment GenAI-agents-compartment
genai-agent-base de connaissances
Permission Opérations d'API Type d'opération Verbe
GENAI_AGENT_KNOWLEDGE_BASE_INSPECT ListKnowledgeBases GET inspect
GENAI_AGENT_KNOWLEDGE_BASE_READ GetKnowledgeBase GET read
GENAI_AGENT_KNOWLEDGE_BASE_UPDATE UpdateKnowledgeBase PUT use
GENAI_AGENT_KNOWLEDGE_BASE_MOVE ChangeKnowledgeBaseCompartment POST manage
GENAI_AGENT_KNOWLEDGE_BASE_CREATE CreateKnowledgeBase POST manage
GENAI_AGENT_KNOWLEDGE_BASE_DELETE DeleteKnowledgeBase DELETE manage

Exemple :

allow group GenAI-agents-users to manage genai-agent-knowledge-base in compartment GenAI-agents-compartment
génai-agent-source de données
Permission Opérations d'API Type d'opération Verbe
GENAI_AGENT_DATA_SOURCE_INSPECT ListDataSources GET inspect
GENAI_AGENT_DATA_SOURCE_READ GetDataSource GET read
GENAI_AGENT_DATA_SOURCE_UPDATE UpdateDataSource PUT use
GENAI_AGENT_DATA_SOURCE_MOVE ChangeDataSourceCompartment POST manage
GENAI_AGENT_DATA_SOURCE_CREATE CreateDataSource POST manage
GENAI_AGENT_DATA_SOURCE_DELETE DeleteDataSource DELETE manage

Exemple : 

allow group GenAI-agents-users to inspect genai-agent-data-source in compartment GenAI-agents-compartment
genai-agent-data-ingestion-job
Permission Opérations d'API Type d'opération Verbe
GENAI_AGENT_DATA_INGESTION_JOB_INSPECT ListDataIngestionJobs GET inspect
GENAI_AGENT_DATA_INGESTION_JOB_READ GetDataIngestionJob GET read
GENAI_AGENT_DATA_INGESTION_JOB_CREATE CreateDataIngestionJob POST manage
GENAI_AGENT_DATA_INGESTION_JOB_DELETE DeleteDataIngestionJob DELETE manage

Exemple : 

allow group GenAI-agents-users to inspect genai-agent-data-ingestion-job in compartment GenAI-agents-compartment
genai-agent-endpoint
Permission Opérations d'API Type d'opération Verbe
GENAI_AGENT_ENDPOINT_INSPECT ListAgentEndpoints GET inspect
GENAI_AGENT_ENDPOINT_READ GetAgentEndpoint GET read
GENAI_AGENT_ENDPOINT_UPDATE UpdateAgentEndpoint PUT use
GENAI_AGENT_ENDPOINT_MOVE ChangeAgentEndpointCompartment POST use
GENAI_AGENT_ENDPOINT_CREATE CreateAgentEndpoint POST manage
GENAI_AGENT_ENDPOINT_CHAT Chat POST use
GENAI_AGENT_ENDPOINT_DELETE DeleteAgentEndpoint DELETE manage

Exemple : 

allow group GenAI-agents-users to manage genai-agent-endpoint in compartment GenAI-agents-compartment
genai-agent-demande de travail
Permission Opérations d'API Type d'opération Verbe
GENAI_AGENT_WORK_REQUEST_INSPECT ListWorkRequests GET inspect
GENAI_AGENT_WORK_REQUEST_READ GetWorkRequest GET read
GENAI_AGENT_WORK_REQUEST_ERRORS_READ GetWorkRequestErrors GET read
GENAI_AGENT_WORK_REQUEST_LOGS_READ GetWorkRequestLogs GET read

Exemple : 

allow group GenAI-agents-users to read genai-agent-work-request in compartment GenAI-agents-compartment
genai-agent-session
Permission Opérations d'API Type d'opération Verbe
GENAI_AGENT_SESSION_INSPECT ListSessions GET inspect
GENAI_AGENT_SESSION_READ GetSession GET read
GENAI_AGENT_SESSION_UPDATE UpdateSession PUT use
GENAI_AGENT_SESSION_CREATE CreateSession POST manage
GENAI_AGENT_SESSION_END EndSession POST manage
GENAI_AGENT_SESSION_DELETE DeleteSession DELETE manage

Exemple : 

allow group GenAI-agents-users to manage genai-agent-session in compartment GenAI-agents-compartment
genai-agent-outil
Autorisations Opérations d'API Type d'opération Verbe
GENAI_AGENT_TOOL_INSPECT ListTools GET inspect
GENAI_AGENT_TOOL_READ GetTool GET read
GENAI_AGENT_TOOL_UPDATE UpdateTool PUT use
GENAI_AGENT_TOOL_CREATE CreateTool POST manage
GENAI_AGENT_TOOL_DELETE DeleteTool DELETE manage

Exemple : 

allow group GenAI-agents-users to use genai-agent-tool in compartment GenAI-agents-compartment

Mise en correspondance des autorisations et des opérations d'API

Le tableau suivant liste les autorisations requises pour les opérations d'API des agents d'IA génératifs.

Développer cette table d'autorisations
Opérations d'API Autorisations requises pour utiliser l'opération
ListAgents GENAI_AGENT_INSPECT
GetAgent GENAI_AGENT_READ
UpdateAgent GENAI_AGENT_UPDATE
ChangeAgentCompartment GENAI_AGENT_MOVE
CreateAgent GENAI_AGENT_CREATE
DeleteAgent GENAI_AGENT_DELETE
ListKnowledgeBases GENAI_AGENT_KNOWLEDGE_BASE_INSPECT
GetKnowledgeBase GENAI_AGENT_KNOWLEDGE_BASE_READ
UpdateKnowledgeBase GENAI_AGENT_KNOWLEDGE_BASE_UPDATE
ChangeKnowledgeBaseCompartment GENAI_AGENT_KNOWLEDGE_BASE_MOVE
CreateKnowledgeBase GENAI_AGENT_KNOWLEDGE_BASE_CREATE
DeleteKnowledgeBase GENAI_AGENT_KNOWLEDGE_BASE_DELETE
ListDataSources GENAI_AGENT_DATA_SOURCE_INSPECT
GetDataSource GENAI_AGENT_DATA_SOURCE_READ
UpdateDataSource GENAI_AGENT_DATA_SOURCE_UPDATE
ChangeDataSourceCompartment GENAI_AGENT_DATA_SOURCE_MOVE
CreateDataSource GENAI_AGENT_DATA_SOURCE_CREATE
DeleteDataSource GENAI_AGENT_DATA_SOURCE_DELETE
ListDataIngestionJobs GENAI_AGENT_DATA_INGESTION_JOB_INSPECT
GetDataIngestionJob GENAI_AGENT_DATA_INGESTION_JOB_READ
CreateDataIngestionJob GENAI_AGENT_DATA_INGESTION_JOB_CREATE
DeleteDataIngestionJob GENAI_AGENT_DATA_INGESTION_JOB_DELETE
ListAgentEndpoints GENAI_AGENT_ENDPOINT_INSPECT
GetAgentEndpoint GENAI_AGENT_ENDPOINT_READ
UpdateAgentEndpoint GENAI_AGENT_ENDPOINT_UPDATE
ChangeAgentEndpointCompartment GENAI_AGENT_ENDPOINT_MOVE
CreateAgentEndpoint AGENAI_AGENT_ENDPOINT_CREATE
DeleteAgentEndpoint GENAI_AGENT_ENDPOINT_DELETE
Chat GENAI_AGENT_ENDPOINT_CHAT
ListTools GENAI_AGENT_TOOL_INSPECT
CreateTool GENAI_AGENT_TOOL_CREATE
GetTool GENAI_AGENT_TOOL_READ
UpdateTool GENAI_AGENT_TOOL_UPDATE
DeleteTool GENAI_AGENT_TOOL_DELETE
ListSessions GENAI_AGENT_SESSION_INSPECT
GetSession GENAI_AGENT_SESSION_READ
UpdateSession GENAI_AGENT_SESSION_UPDATE
CreateSession GENAI_AGENT_SESSION_CREATE
EndSession GENAI_AGENT_SESSION_END
DeleteSession GENAI_AGENT_SESSION_DELETE
ListWorkRequests GENAI_AGENT_WORK_REQUEST_INSPECT
GetWorkRequest GENAI_AGENT_WORK_REQUEST_READ
GetWorkRequestErrors GENAI_AGENT_WORK_REQUEST_ERRORS_READ
GetWorkRequestLogs GENAI_AGENT_WORK_REQUEST_LOGS_READ