Documentazione di Oracle Cloud Infrastructure

Accesso agli agenti di intelligenza artificiale generativa

Puoi ottenere l'accesso alle risorse degli agenti AI generativi con i criteri OCI Identity and Access Management (IAM).

Per impostazione predefinita, solo gli utenti del gruppo Administrators hanno accesso a tutte le risorse OCI, incluse le risorse degli agenti AI generativi. Se si è membri di un altro gruppo, chiedere all'amministratore di assegnare i privilegi minimi necessari per l'esecuzione delle responsabilità esaminando le sezioni seguenti.

Aggiunta di criteri prima di poter utilizzare il servizio

Prima di utilizzare gli agenti AI generativi, chiedere all'amministratore di aggiungere i criteri riportati di seguito.

Accesso utente a tutte le risorse degli agenti AI generativi

Consente agli utenti di accedere alle risorse degli agenti di intelligenza artificiale generativa, ad esempio agenti, knowledge base, origini dati, job di inclusione dati, sessioni agente, richieste di lavoro agente ed endpoint

  • Per ottenere l'accesso a tutte le risorse degli agenti AI generativi nell'intera tenancy, utilizzare il criterio riportato di seguito.
    allow group <genai-agent-administrators> to manage genai-agent-family in tenancy
  • Per ottenere l'accesso a tutte le risorse degli agenti AI generativi nel compartimento, utilizzare il criterio riportato di seguito.
    allow group <genai-agent-administrators> to manage genai-agent-family in compartment <your-compartment-name>
Importante

Per selezionare solo risorse specifiche a cui gli utenti possono accedere, vedere Informazioni sui tipi di risorse degli agenti di intelligenza artificiale generativa e Come concedere agli utenti l'autorizzazione granulare per ogni tipo di risorsa.

Accesso utente ai file di storage degli oggetti per le origini dati

Se i file di dati per l'agente si trovano nei bucket di storage degli oggetti OCI, è necessario disporre dell'autorizzazione per elencare e selezionare tali file nell'ambito del servizio Agenti AI generativi.

  • Per concedere agli utenti l'autorizzazione per aggiungere file di storage degli oggetti alle rispettive knowledge base, procedere come segue.
    allow group <your-group-name> to manage object-family in compartment <compartment-with-bucket>
Nota

Se i file e gli agenti di storage degli oggetti si trovano in compartimenti diversi, assicurarsi che gli utenti che creano gli agenti dispongano dell'autorizzazione per manage object-family nel compartimento con il bucket.

Chiedere a un amministratore di esaminare gli esempi in Protezione dello storage degli oggetti e aggiungere i criteri applicabili all'utente, ad esempio i criteri, per evitare l'eliminazione accidentale dei bucket che contengono dati di addestramento.

Accesso al job di inclusione dati ai file di storage degli oggetti per job con tempi di esecuzione lunghi

Per includere grandi quantità di contenuto da OCI Object Storage, attenersi alla procedura riportata di seguito per creare i principal delle risorse per i job di inclusione dei dati che potrebbero essere eseguiti per più di 24 ore.

  1. Attenersi alla procedura descritta in Creazione di un gruppo dinamico con le specifiche riportate di seguito per la regola di corrispondenza.
    1. Nella sezione Regole di corrispondenza selezionare Corrispondenza con le regole definite di seguito.
    2. Immettere la seguente regola di corrispondenza.
      ALL {resource.type='genaiagentdataingestionjob'}

      Il tipo di risorsa genaiagentdataingestionjob è il principal risorsa per i job di inclusione dati. La regola di corrispondenza precedente indica che questo gruppo dinamico rappresenta la risorsa job di inclusione dei dati degli agenti AI generativi.

      Per limitare l'appartenenza al gruppo dinamico ai job di inclusione dati creati in un compartimento specifico, anziché alla regola di corrispondenza precedente, utilizzare la regola seguente:

      ALL {resource.type = 'genaiagentdataingestionjob', 
resource.compartment.id = '<compartment-ocid-for-ingestion-jobs>'}
    3. Consenti a questo gruppo dinamico di accedere agli oggetti di storage degli oggetti in un compartimento specificato.
      allow dynamic-group <dynamic-group-name> 
to read objects in compartment <compartment-name-for-objects>
      È possibile limitare ulteriormente i criteri con più condizioni. Ad esempio:
      allow dynamic-group <dynamic-group-name> 
to read objects in tenancy where all {target.compartment.id='<compartment_ocid>', 
target.bucket.name=<bucket-name>, 
target.bucket.tag.MyTagNamespace.TagKey='<MyTagValue>'}

      Per ulteriori esempi sulla scrittura dei criteri, vedere Protezione dello storage degli oggetti.

      Nota

      Puoi limitare l'accesso allo storage degli oggetti, utilizzando condizioni che includono nomi di bucket, compartimenti e tag. La limitazione dell'accesso mediante la specifica di un nome oggetto o di un prefisso in un criterio, ad esempio target.object.name, non è supportata e il job di inclusione dati potrebbe non riuscire.
Accesso del servizio al segreto vault per Oracle Database e OpenSearch

Se i dati si trovano nell'area di memorizzazione vettoriale di Oracle Database o nella ricerca OCI con OpenSearch, eseguire i task riportati di seguito.

  1. Per i dati di Oracle Database, eseguire i task riportati in RAG Tool Oracle Database Guidelines for Generative AI Agents.
  2. Per la ricerca OCI con dati OpenSearch, eseguire i task in Ricerca OCI dello strumento RAG con OpenSearch Guidelines for Generative AI Agents.
  3. Attenersi alla procedura descritta in Creazione di un gruppo dinamico con le specifiche riportate di seguito per la regola di corrispondenza.
    1. Nella sezione Regole di corrispondenza selezionare Corrispondenza con le regole definite di seguito.
    2. Immettere la seguente regola di corrispondenza.
      ALL {resource.type='genaiagent'}

      Il tipo di risorsa genaiagent è il principal risorsa per gli agenti. La regola di corrispondenza precedente indica che questo gruppo dinamico rappresenta la risorsa agente Agenti AI generativi.

    3. Consenti a questo gruppo dinamico di accedere ai segreti di OCI Vault nel compartimento con l'area di memorizzazione vettoriale di Oracle Database o con OCI Search con segreto OpenSearch.

      Scrivere il criterio seguente, che può essere utilizzato con il dominio di Identity predefinito:

      allow dynamic-group <dynamic-group-name> 
to read secret-bundle in compartment <compartment-name>

      Utilizzare il criterio seguente con un dominio di Identity non predefinito, fornendo il nome del dominio Oracle Identity Cloud Service (IDCS) e il nome del gruppo dinamico: 

      allow dynamic-group '<idcs-domain-name>/<dynamic-group-name>' 
to read secret-bundle in compartment <compartment-name>
Accesso dei servizi agli strumenti di Oracle Database

Se i tuoi dati si trovano in Oracle Database 23ai, consenti al gruppo dinamico, creato per l'accesso al servizio a OCI Vault, di accedere anche agli strumenti di database OCI.

Scrivere il criterio seguente, che può essere utilizzato con il dominio di Identity predefinito:

allow dynamic-group <dynamic-group-name> 
to read database-tools-family in compartment <compartment-name>

Utilizzare il criterio seguente con un dominio di Identity non predefinito, fornendo il nome del dominio Oracle Identity Cloud Service (IDCS) e il nome del gruppo dinamico: 

allow dynamic-group '<idcs-domain-name>/<dynamic-group-name>' 
to read database-tools-family in compartment <compartment-name>

Informazioni sui tipi di risorse degli agenti AI generativi

Gli agenti AI generativi dispongono dei tipi di risorsa individuali riportati di seguito da utilizzare nei criteri di Identity and Access Management. È possibile assegnare autorizzazioni diverse a gruppi di utenti diversi in base alle modalità di utilizzo dei tipi di risorsa seguenti:

  • genai-agent: un agente
  • genai-agent-knowledge-base: la knowledge base associata a un agente.
  • genai-agent-data-source: l'origine dati associata a una knowledge base
  • genai-agent-data-ingestion-job: il job che include i dati da un'origine dati.
  • genai-agent-endpoint: endpoint per accedere all'agente
  • genai-agent-work-request: la richiesta di lavoro per le operazioni degli agenti di intelligenza artificiale generativa
  • genai-agent-session: sessione di chat di un agente
Oltre AI singoli tipi di risorsa elencati precedenti, è possibile utilizzare il tipo di risorsa aggregata genai-agent-family per includere tutti e sette i tipi di risorsa Agenti AI generativi in un criterio, ad esempio: 
allow group <genai-agent-administrators> to manage genai-agent-family in tenancy
Tipo di risorsa aggregata Tipi di risorse individuali inclusi
genai-agent-family
  • genai-agent
  • genai-agent-knowledge-base
  • genai-agent-data-source
  • genai-agent-data-ingestion-job
  • genai-agent-endpoint
  • genai-agent-session
  • genai-agent-work-request

Dare agli utenti un'autorizzazione granulare per ogni tipo di risorsa

In questa sezione sono elencate le autorizzazioni per le operazioni degli agenti AI generativi. Il livello di accesso è cumulativo quando si passa da inspect a read a use a manage. Ad esempio, se si dispone dell'autorizzazione per manage il tipo di risorsa genai-agent-endpoint, è possibile elencare, ottenere i dettagli per, creare ed eliminare gli endpoint. Non è necessaria un'altra autorizzazione per inspect gli endpoint. Espandere ogni tipo di risorsa per le relative autorizzazioni.

genai-agente
Autorizzazioni Operazione API Tipo di operazione Verbo
GENAI_AGENT_INSPECT ListAgents GET inspect
GENAI_AGENT_READ GetAgent GET read
GENAI_AGENT_UPDATE UpdateAgent PUT use
GENAI_AGENT_MOVE ChangeAgentCompartment POST manage
GENAI_AGENT_CREATE CreateAgent POST manage
GENAI_AGENT_DELETE DeleteAgent DELETE manage
Esempio: 
allow group GenAI-agents-users to use genai-agent in compartment GenAI-agents-compartment
genai-agent-knowledge-base
Autorizzazioni Operazione API Tipo di operazione Verbo
GENAI_AGENT_KNOWLEDGE_BASE_INSPECT ListKnowledgeBases GET inspect
GENAI_AGENT_KNOWLEDGE_BASE_READ GetKnowledgeBase GET read
GENAI_AGENT_KNOWLEDGE_BASE_UPDATE UpdateKnowledgeBase PUT use
GENAI_AGENT_KNOWLEDGE_BASE_MOVE ChangeKnowledgeBaseCompartment POST manage
GENAI_AGENT_KNOWLEDGE_BASE_CREATE CreateKnowledgeBase POST manage
GENAI_AGENT_KNOWLEDGE_BASE_DELETE DeleteKnowledgeBase DELETE manage
Esempio: 
allow group GenAI-agents-users to manage genai-agent-knowledge-base in compartment GenAI-agents-compartment
genai-agent-data-source
Autorizzazioni Operazione API Tipo di operazione Verbo
GENAI_AGENT_DATASOURCE_INSPECT ListDataSources GET inspect
GENAI_AGENT_DATASOURCE_READ GetDataSource GET read
GENAI_AGENT_DATASOURCE_UPDATE UpdateDataSource PUT use
AGENT_DATASOURCE_MOVE ChangeDataSourceCompartment POST manage
GENAI_AGENT_DATASOURCE_CREATE CreateDataSource POST manage
GENAI_AGENT_DATASOURCE_DELETE DeleteDataSource DELETE manage
Ad esempio: 
allow group GenAI-agents-users to inspect genai-agent-data-source in compartment GenAI-agents-compartment
genai-agent-data-ingestion-job
Autorizzazioni Operazione API Tipo di operazione Verbo
GENAI_AGENT_DATA_INGESTION_JOB_INSPECT ListDataIngestionJobs GET inspect
GENAI_AGENT_DATA_INGESTION_JOB_READ GetDataIngestionJob GET read
GENAI_AGENT_DATA_INGESTION_JOB_UPDATE UpdateDataIngestionJob PUT use
GENAI_AGENT_DATA_INGESTION_JOB_MOVE ChangeDataIngestionJobCompartment POST use
GENAI_AGENT_DATA_INGESTION_JOB_CREATE CreateDataIngestionJob POST manage
GENAI_AGENT_DATA_INGESTION_JOB_DELETE DeleteDataIngestionJob DELETE manage
Ad esempio: 
allow group GenAI-agents-users to inspect genai-agent-data-ingestion-job in compartment GenAI-agents-compartment
genai-agent-endpoint
Autorizzazioni Operazione API Tipo di operazione Verbo
GENAI_AGENT_ENDPOINT_INSPECT ListAgentEndpoints GET inspect
GENAI_AGENT_ENDPOINT_READ GetAgentEndpoint GET read
GENAI_AGENT_ENDPOINT_UPDATE UpdateAgentEndpoint PUT use
GENAI_AGENT_ENDPOINT_MOVE ChangeAgentEndpointCompartment POST use
GENAI_AGENT_ENDPOINT_CREATE CreateAgentEndpoint POST manage
GENAI_AGENT_ENDPOINT_CHAT Chat POST use
GENAI_AGENT_ENDPOINT_DELETE DeleteAgentEndpoint DELETE manage
Esempio: 
allow group GenAI-agents-users to manage genai-agent-endpoint in compartment GenAI-agents-compartment
genai-agent-richiesta di lavoro
Autorizzazioni Operazione API Tipo di operazione Verbo
GENAI_AGENT_WORK_REQUEST_INSPECT ListWorkRequests GET inspect
GENAI_AGENT_WORK_REQUEST_READ GetWorkRequest GET read
GENAI_AGENT_WORK_REQUEST_ERRORS_READ GetWorkRequestErrors GET read
GENAI_AGENT_WORK_REQUEST_LOGS_READ GetWorkRequestLogs GET read
Esempio: 
allow group GenAI-agents-users to read genai-agent-work-request in compartment GenAI-agents-compartment
genai-agent-sessione
Autorizzazioni Operazione API Tipo di operazione Verbo
GENAI_AGENT_SESSION_INSPECT ListSessions GET inspect
GENAI_AGENT_SESSION_READ GetSession GET read
GENAI_AGENT_SESSION_UPDATE UpdateSession PUT use
GENAI_AGENT_SESSION_CREATE CreateSession POST manage
GENAI_AGENT_SESSION_END EndSession POST manage
GENAI_AGENT_SESSION_DELETE DeleteSession DELETE manage
Esempio: 
allow group GenAI-agents-users to manage genai-agent-session in compartment GenAI-agents-compartment

Corrispondenza delle autorizzazioni alle operazioni API

Nella tabella riportata di seguito sono elencate le autorizzazioni necessarie per le operazioni API degli agenti AI generativi.

Espandi questa tabella autorizzazioni
Operazione API Autorizzazioni necessarie per utilizzare l'operazione
ListAgents GENAI_AGENT_INSPECT
GetAgent GENAI_AGENT_READ
UpdateAgent GENAI_AGENT_UPDATE
ChangeAgentCompartment GENAI_AGENT_MOVE
CreateAgent GENAI_AGENT_CREATE
DeleteAgent GENAI_AGENT_DELETE
ListKnowledgeBases GENAI_AGENT_KNOWLEDGE_BASE_INSPECT
GetKnowledgeBase GENAI_AGENT_KNOWLEDGE_BASE_READ
UpdateKnowledgeBase GENAI_AGENT_KNOWLEDGE_BASE_UPDATE
ChangeKnowledgeBaseCompartment GENAI_AGENT_KNOWLEDGE_BASE_MOVE
CreateKnowledgeBase GENAI_AGENT_KNOWLEDGE_BASE_CREATE
DeleteKnowledgeBase GENAI_AGENT_KNOWLEDGE_BASE_DELETE
ListDataSources GENAI_AGENT_DATASOURCE_INSPECT
GetDataSource GENAI_AGENT_DATASOURCE_READ
UpdateDataSource GENAI_AGENT_DATASOURCE_UPDATE
ChangeDataSourceCompartment AGENT_DATASOURCE_MOVE
CreateDataSource GENAI_AGENT_DATASOURCE_CREATE
DeleteDataSource GENAI_AGENT_DATASOURCE_DELETE
ListDataIngestionJobs GENAI_AGENT_DATA_INGESTION_JOB_INSPECT
GetDataIngestionJob GENAI_AGENT_DATA_INGESTION_JOB_READ
UpdateDataIngestionJob GENAI_AGENT_DATA_INGESTION_JOB_UPDATE
ChangeDataIngestionJobCompartment GENAI_AGENT_DATA_INGESTION_JOB_MOVE
CreateDataIngestionJob GENAI_AGENT_DATA_INGESTION_JOB_CREATE
DeleteDataIngestionJob GENAI_AGENT_DATA_INGESTION_JOB_DELETE
ListAgentEndpoints GENAI_AGENT_ENDPOINT_INSPECT
GetAgentEndpoint GENAI_AGENT_ENDPOINT_READ
UpdateAgentEndpoint GENAI_AGENT_ENDPOINT_UPDATE
ChangeAgentEndpointCompartment GENAI_AGENT_ENDPOINT_MOVE
CreateAgentEndpoint AGENAI_AGENT_ENDPOINT_CREATE
DeleteAgentEndpoint GENAI_AGENT_ENDPOINT_DELETE
Chat GENAI_AGENT_ENDPOINT_CHAT
ListSessions GENAI_AGENT_SESSION_INSPECT
GetSession GENAI_AGENT_SESSION_READ
UpdateSession GENAI_AGENT_SESSION_UPDATE
CreateSession GENAI_AGENT_SESSION_CREATE
EndSession GENAI_AGENT_SESSION_END
DeleteSession GENAI_AGENT_SESSION_DELETE
ListWorkRequests GENAI_AGENT_WORK_REQUEST_INSPECT
GetWorkRequest GENAI_AGENT_WORK_REQUEST_READ
GetWorkRequestErrors GENAI_AGENT_WORK_REQUEST_ERRORS_READ
GetWorkRequestLogs GENAI_AGENT_WORK_REQUEST_LOGS_READ