Documentation sur Oracle Cloud Infrastructure

Ajout d'autorisations de clé

Pour utiliser une clé d'API du service d'intelligence artificielle générative pour OCI, accordez des autorisations au moyen de politiques IAM au niveau de la location ou du compartiment.

Ces politiques utilisent any-user comme sujet pour autoriser l'accès à tout principal authentifié dans la location (y compris les utilisateurs, les principaux d'instance et les principaux de ressource), mais la clause WHERE la limite aux demandes dont le type de principal est generativeaiapikey (correspondance de la clé d'API). Avec cette politique, le service d'intelligence artificielle générative peut authentifier et traiter les appels d'API à l'aide de la clé sans accès plus large.

Pour un contrôle plus fin, remplacez any-user par group <group-name> pour limiter la politique aux membres d'un groupe spécifique (par exemple, en autorisant uniquement les utilisateurs de ce groupe à appeler l'API avec la clé).

Personnalisez les politiques par portée (compartiment ou location), granularité (toute clé comparée à une clé spécifique), restrictions de modèle ou types d'opération (par exemple, clavardage uniquement). Utilisez l'outil Policy Builder pour plus de simplicité. Créez des politiques avant de générer la clé si vous autorisez toutes les clés d'un compartiment ou de certains modèles, créez d'abord la clé (pour obtenir son OCID) si vous la limitez à une clé spécifique.

Autorisations étendues : Autoriser toute clé d'API

Sans OCID requis, cette option est idéale pour un accès général avant ou après la création de la clé (ajoutez cette politique avant d'utiliser des clés).

Dans un compartiment spécifique
allow any-user to use generative-ai-family 
in compartment <compartment-name> 
where ALL {request.principal.type='generativeaiapikey'}
Dans l'ensemble de la location
allow any-user to use generative-ai-family 
in compartment <compartment-name>
where ALL {request.principal.type='generativeaiapikey', 
target.model.id in('<model-1>', 'model-2')
}

Autorisations spécifiques : Autoriser une clé d'API unique

Générez d'abord la clé, extrayez son OCID (commence par ocid1.generativeaiapikey.<region-realm>.<region-name>), puis appliquez la politique. Voir Obtention des détails d'une clé d'API pour rechercher l'OCID.

Dans un compartiment spécifique
allow any-user to use generative-ai-family 
in compartment <compartment-name> 
where ALL {request.principal.type='generativeaiapikey', 
request.principal.id='<your-api-key-OCID>'}
Dans l'ensemble de la location
allow any-user to use generative-ai-family in tenancy 
where ALL {request.principal.type='generativeaiapikey', 
request.principal.id='<your-api-key-OCID>'}

Autorisations restreintes : Limiter aux modèles ou aux opérations

Pour plus de sécurité, un accès étroit à des modèles ou à des points d'extrémité spécifiques (trouvez des ID modèle dans les cartes de modèle ou des ID point d'extrémité dans les détails du point d'extrémité, par exemple xai.grok-4 pour xAI Grok 4. Voir Modèles pris en charge). Utilisez generative-ai-family pour un accès complet ou generative-ai-chat pour limiter les points d'extrémité de clavardage uniquement (à l'exclusion des grappes d'intégration, de reclassement, de mise à jour de modèle ou d'intelligence artificielle). Voir Politiques IAM pour l'IA générative pour OCI.

Toute clé d'un compartiment pour des modèles ou des points d'extrémité spécifiques (accès complet en lecture et mise à jour)
allow any-user to use generative-ai-family 
in compartment <compartment-name>
where ALL {request.principal.type='generativeaiapikey', 
target.model.id in('<model-1>', 'model-2')
}
Toute clé d'un compartiment pour des modèles ou des points d'extrémité spécifiques (Clavardage uniquement) :
allow any-user to use generative-ai-chat 
in compartment <compartment-name>
where ALL {request.principal.type='generativeaiapikey', 
target.model.id in('<model-1>', 'model-2')
}