Documentation Oracle Cloud Infrastructure

Ajout de droits d'accès aux clés

Pour utiliser une clé d'API OCI Generative AI, accordez des droits d'accès via des stratégies IAM au niveau de la location ou du compartiment.

Ces stratégies utilisent any-user en tant que sujet pour autoriser l'accès à tout principal authentifié dans la location (y compris les utilisateurs, les principaux d'instance et les principaux de ressource), mais la clause WHERE le limite aux demandes dont le type de principal est generativeaiapikey (correspondant à la clé d'API). Avec cette stratégie, le service d'IA générative peut authentifier et traiter les appels d'API à l'aide de la clé sans accès plus large.

Pour un contrôle plus fin, remplacez any-user par group <group-name> afin de limiter la stratégie aux membres d'un groupe spécifique (par exemple, en autorisant uniquement les utilisateurs de ce groupe à appeler l'API avec la clé).

Personnaliser les stratégies par portée (compartiment ou location), par niveau de détail (toute clé par rapport à une clé spécifique), par des restrictions de modèle ou par des types d'opération (par exemple, discussion uniquement). Utilisez l'outil Policy Builder pour plus de simplicité. Créez des stratégies avant de générer la clé si vous autorisez toutes les clés d'un compartiment ou de certains modèles, créez d'abord la clé (pour obtenir son OCID) en cas de limitation à une clé spécifique.

Autorisations générales : autoriser n'importe quelle clé d'API

Si aucun OCID n'est requis, cette option est idéale pour un accès général avant ou après la création de la clé (ajoutez cette stratégie avant d'utiliser les clés).

Dans un compartiment spécifique
allow any-user to use generative-ai-family 
in compartment <compartment-name> 
where ALL {request.principal.type='generativeaiapikey'}
Dans l'ensemble de la location
allow any-user to use generative-ai-family 
in compartment <compartment-name>
where ALL {request.principal.type='generativeaiapikey', 
target.model.id in('<model-1>', 'model-2')
}

Droits d'accès spécifiques : autoriser une clé d'API unique

Générez d'abord la clé, extrayez son OCID (commence par ocid1.generativeaiapikey.<region-realm>.<region-name>), puis appliquez la stratégie. Pour rechercher l'OCID, reportez-vous à Obtention des détails d'une clé d'API.

Dans un compartiment spécifique
allow any-user to use generative-ai-family 
in compartment <compartment-name> 
where ALL {request.principal.type='generativeaiapikey', 
request.principal.id='<your-api-key-OCID>'}
Dans l'ensemble de la location
allow any-user to use generative-ai-family in tenancy 
where ALL {request.principal.type='generativeaiapikey', 
request.principal.id='<your-api-key-OCID>'}

Autorisations restreintes : Limiter aux modèles ou aux opérations

Pour plus de sécurité, restreignez l'accès à des modèles ou des adresses spécifiques (recherchez des ID de modèle dans des cartes de modèle ou des ID d'adresse dans les détails d'adresse, par exemple, xai.grok-4 pour xAI Grok 4). Reportez-vous à Modèles pris en charge). Utilisez generative-ai-family pour un accès complet ou generative-ai-chat pour limiter les adresses de discussion uniquement (à l'exclusion de l'intégration, du reclassement, des mises à jour de modèle ou des clusters d'IA). Reportez-vous à Stratégies IAM pour OCI Generative AI.

Toute clé d'un compartiment pour des modèles ou des adresses spécifiques (accès complet en lecture et en mise à jour)
allow any-user to use generative-ai-family 
in compartment <compartment-name>
where ALL {request.principal.type='generativeaiapikey', 
target.model.id in('<model-1>', 'model-2')
}
Toute clé d'un compartiment pour des modèles ou des adresses spécifiques (discussion uniquement) :
allow any-user to use generative-ai-chat 
in compartment <compartment-name>
where ALL {request.principal.type='generativeaiapikey', 
target.model.id in('<model-1>', 'model-2')
}