Autorisations pour le déploiement d'applications

Cette rubrique décrit les droits d'accès IAM requis pour déployer des applications d'IA générative dans OCI. Il décrit l'accès nécessaire aux utilisateurs pour créer et gérer des applications et des déploiements, ainsi que les droits d'accès requis pour que les applications puissent extraire des images Docker à partir d'OCIR.

A propos des déploiements

Les applications fournissent une exécution gérée pour les charges de travail d'IA générative, notamment le redimensionnement, le stockage, les variables d'environnement, la mise en réseau (adresses et adresses) et l'authentification via un domaine d'identité.
Les déploiements au sein d'une application indiquent une image Docker OCIR (appelée artefact) pour le déploiement de l'application.
Avant le déploiement, le service OCI Vulnerability Scanning analyse l'image Docker. Le déploiement échoue si l'analyse détecte des vulnérabilités critiques.
Workflow de déploiement standard
1. Créer une application
2. Ajoutez un déploiement.
3. Déploiement de l'image Docker.

Droits d'accès requis

Configurer avant de créer des applications.

Pour le service OCI Vulnerability Scanning

Accordez au service le droit de lire les référentiels qui stockent les images Docker afin qu'il puisse les analyser avant le déploiement.

Pour les applications

Créez un groupe dynamique pour les applications créées dans un compartiment ou la location indiqué.
Accordez au groupe dynamique le droit de lire les référentiels OCIR dans le compartiment indiqué.
Accordez au groupe dynamique le droit de lire les résultats de l'analyse des vulnérabilités afin que l'application puisse vérifier que l'image passe l'analyse avant le déploiement.

Pour les utilisateurs

Accès aux ressources d'application.
Accès aux ressources de déploiement.
Accès aux ressources d'artefact (images Docker).

Pour le service OCI Vulnerability Scanning

Accordez au service le droit de lire les référentiels qui stockent les images Docker afin qu'il puisse les analyser avant le déploiement.

allow service vulnerability-scanning-service 
to read compartments in compartment <compartement-with-repos>

allow service vulnerability-scanning-service 
to read repos in compartment <compartement-with-repos>

Pour les applications OCI Generative AI

Créez un groupe dynamique pour les applications et leurs déploiements qui sont créés dans la location ou un compartiment spécifié.
Accordez au groupe dynamique le droit de lire les référentiels OCIR dans le compartiment indiqué.
Accordez au groupe dynamique le droit de lire les résultats de l'analyse des vulnérabilités afin que l'application puisse vérifier que l'image passe l'analyse avant le déploiement.

Créez un groupe dynamique pour les applications et les déploiements dans la location avec la règle de mise en correspondance suivante :
```
all {resource.type='generativeaihostedapplication',
resource.type='generativeaihosteddeployment'}
```

Pour limiter les applications et leurs déploiements à un compartiment spécifique, mettez à jour la condition précédente pour :

all {resource.type='generativeaihostedapplication',
resource.type='generativeaihosteddeployment',
resource.compartment.id='<your-compartment-OCID>'}

Créez une stratégie pour accorder au groupe dynamique le droit de lire les référentiels OCIR dans un compartiment indiqué.
```
Allow dynamic-group <dynamic-group-name> 
to read repos in compartment <your-compartment-name>'}
```
Ajoutez une autre stratégie pour autoriser le groupe dynamique à lire les résultats de l'analyse des vulnérabilités afin que l'application puisse vérifier que l'image passe l'analyse avant le déploiement.
```
 Allow dynamic-group <dynamic-group-name> 
to read vss-family in compartment <your-compartment-name>
```
Si un agent doit accéder à d'autres ressources OCI, ajoutez une stratégie pour lire les ressources de ce service. Pour des exemples,

Exemple d'accès d'agent à Object Storage

Accordez le droit d'accès de déploiement hébergé pour lire à partir d'Object Storage dans votre compartiment.
```
 Allow dynamic-group <dynamic-group-name> 
to read object-family in compartment <your-compartment-name>
```
Pour plus d'exemples, reportez-vous à Stratégies courantes.

QuickStart Droits d'accès pour les utilisateurs

Pour afficher les ressources

Ajoutez la stratégie IAM minimale pour visualiser les applications, les déploiements et les artefacts.

allow group <your-group-name> 
to use generative-ai-hosted-application in compartment <your-compartment-name>

allow group <your-group-name> 
to use generativeaihosteddeployment in compartment <your-compartment-name>

Pour gérer les ressources

Si vous créez et supprimez des applications, des déploiements et des artefacts, ajoutez le droit d'accès manage :

allow group <your-group-name> 
to manage generative-ai-hosted-application in compartment <your-compartment>

allow group <your-group-name> 
to manage generativeaihosteddeployment in compartment <your-compartment>

Conseil

Les types de ressource generative-ai-hosted-application et generativeaihosteddeployment sont inclus dans le type de ressource generative-ai-family.

Si vous avez une autorisation pour la famille, par exemple :

allow group <your-group-name> to manage generative-ai-family 
in compartment <your-compartment-name>

vous n'avez pas besoin d'ajouter les autorisations dans cette section.

Autorisations au niveau de l'API

Reportez-vous à Accès utilisateur aux ressources individuelles pour obtenir des droits d'accès de niveau API détaillés pour chaque type de ressource.