Autorisations pour le déploiement d'applications

Cette rubrique décrit les autorisations IAM requises pour déployer des applications d'intelligence artificielle générative dans OCI. Il décrit l'accès nécessaire pour que les utilisateurs puissent créer et gérer des applications et des déploiements, ainsi que les autorisations requises pour que les applications puissent extraire des images Docker d'OCIR.

À propos des déploiements

Les applications fournissent une exécution gérée pour les charges de travail d'IA générative, y compris l'évolutivité, le stockage, les variables d'environnement, le réseau (sortant et points d'extrémité) et l'authentification au moyen d'un domaine d'identité.
Les déploiements au sein d'une application spécifient une image Docker OCIR (appelée artefact) pour le déploiement de l'application.
Avant le déploiement, le service de balayage de vulnérabilités OCI balaie l'image Docker. Le déploiement échoue si l'analyse détecte des vulnérabilités critiques.
Flux de travail de déploiement type
1. Créer une application.
2. Ajoutez un déploiement.
3. Déployer l'image Docker.

Permissions requises

Configurer avant de créer des applications.

Pour le service de balayage de vulnérabilité OCI

Accordez au service l'autorisation de lire les référentiels qui stockent les images Docker afin qu'il puisse les balayer avant le déploiement.

Pour les applications

Créez un groupe dynamique pour les applications créées dans un compartiment ou une location spécifié.
Accordez au groupe dynamique l'autorisation de lire les référentiels OCIR dans le compartiment spécifié.
Accordez au groupe dynamique l'autorisation de lire les résultats du balayage de vulnérabilités afin que l'application puisse vérifier que l'image réussit le balayage avant le déploiement.

Pour les utilisateurs

Accès aux ressources d'application.
Accès aux ressources de déploiement.
Accès aux ressources d'artefact (images Docker).

Pour le service de balayage de vulnérabilité OCI

Accordez au service l'autorisation de lire les référentiels qui stockent les images Docker afin qu'il puisse les balayer avant le déploiement.

allow service vulnerability-scanning-service 
to read compartments in compartment <compartement-with-repos>

allow service vulnerability-scanning-service 
to read repos in compartment <compartement-with-repos>

Pour les applications d'IA générative pour OCI

Créez un groupe dynamique pour les applications et leurs déploiements qui sont créés dans la location ou un compartiment spécifié.
Accordez au groupe dynamique l'autorisation de lire les référentiels OCIR dans le compartiment spécifié.
Accordez au groupe dynamique l'autorisation de lire les résultats du balayage de vulnérabilités afin que l'application puisse vérifier que l'image réussit le balayage avant le déploiement.

Créez un groupe dynamique pour les applications et les déploiements dans la location avec la règle de correspondance suivante :
```
all {resource.type='generativeaihostedapplication',
resource.type='generativeaihosteddeployment'}
```

Pour limiter les applications et leurs déploiements à un compartiment spécifique, mettez à jour la condition précédente à :

all {resource.type='generativeaihostedapplication',
resource.type='generativeaihosteddeployment',
resource.compartment.id='<your-compartment-OCID>'}

Créez une politique pour accorder au groupe dynamique l'autorisation de lire les référentiels OCIR dans un compartiment spécifié.
```
Allow dynamic-group <dynamic-group-name> 
to read repos in compartment <your-compartment-name>'}
```
Ajoutez une autre politique pour accorder au groupe dynamique l'autorisation de lire les résultats du balayage de vulnérabilités afin que l'application puisse vérifier que l'image réussit le balayage avant le déploiement.
```
 Allow dynamic-group <dynamic-group-name> 
to read vss-family in compartment <your-compartment-name>
```
Si un agent doit accéder à d'autres ressources OCI, ajoutez une politique pour lire les ressources de ce service. À titre d'exemple,

Exemple d'accès d'agent au stockage d'objets

Accordez l'autorisation de déploiement hébergé à des fins de lecture à partir du stockage d'objets dans votre compartiment.
```
 Allow dynamic-group <dynamic-group-name> 
to read object-family in compartment <your-compartment-name>
```
Pour plus d'exemples, voir Politiques communes.

QuickStart Autorisations pour les utilisateurs

Pour voir les ressources

Ajoutez la politique IAM minimale pour voir les applications, les déploiements et les artefacts.

allow group <your-group-name> 
to use generative-ai-hosted-application in compartment <your-compartment-name>

allow group <your-group-name> 
to use generativeaihosteddeployment in compartment <your-compartment-name>

Pour gérer les ressources

Si vous créez et supprimez des applications, des déploiements et des artefacts, ajoutez l'autorisation manage :

allow group <your-group-name> 
to manage generative-ai-hosted-application in compartment <your-compartment>

allow group <your-group-name> 
to manage generativeaihosteddeployment in compartment <your-compartment>

Conseil

Les types de ressource generative-ai-hosted-application et generativeaihosteddeployment sont inclus dans le type de ressource generative-ai-family.

Si vous avez l'autorisation de la famille, par exemple :

allow group <your-group-name> to manage generative-ai-family 
in compartment <your-compartment-name>

alors, vous n'avez pas besoin d'ajouter les autorisations dans cette section.

Autorisations au niveau de l'API

Voir Accès des utilisateurs aux ressources individuelles pour obtenir des autorisations de niveau API détaillées pour chaque type de ressource.