Documentazione dell'infrastruttura Oracle Cloud

Aggiunta delle autorizzazioni chiave

Per utilizzare una chiave API OCI Generative AI, concedi l'autorizzazione tramite criteri IAM a livello di tenancy o di compartimento.

Questi criteri utilizzano any-user come oggetto per consentire l'accesso a qualsiasi principal autenticato nella tenancy (inclusi utenti, principal istanza e principal risorsa), ma la clausola WHERE lo limita alle richieste in cui il tipo di principal è generativeaiapikey (corrispondenza della chiave API). Con questo criterio il servizio di intelligenza artificiale generativa può autenticare ed elaborare le chiamate API utilizzando la chiave senza un accesso più ampio.

Per un controllo più preciso, sostituire any-user con group <group-name> per limitare il criterio ai membri di un gruppo specifico (ad esempio, consentendo solo agli utenti di tale gruppo di richiamare l'API con la chiave).

Personalizza i criteri in base all'ambito (compartimento o tenancy), alla granularità (qualsiasi chiave confrontata con una specifica), alle restrizioni del modello o ai tipi di operazione (ad esempio, solo chat). Utilizzare lo strumento Costruzione guidata criteri per semplificare. Creare criteri prima di generare la chiave se si autorizzano tutte le chiavi in un compartimento o per determinati modelli, creare prima la chiave (per ottenere il relativo OCID) se si limita a una chiave specifica.

Autorizzazioni estese: autorizza qualsiasi chiave API

Senza OCID necessario, questa opzione è ideale per l'accesso generale prima o dopo la creazione della chiave (aggiungere questo criterio prima di utilizzare le chiavi).

In un compartimento specifico
allow any-user to use generative-ai-family 
in compartment <compartment-name> 
where ALL {request.principal.type='generativeaiapikey'}
In tutta la tenancy
allow any-user to use generative-ai-family 
in compartment <compartment-name>
where ALL {request.principal.type='generativeaiapikey', 
target.model.id in('<model-1>', 'model-2')
}

Autorizzazioni specifiche: autorizza una singola chiave API

Generare prima la chiave, recuperarne l'OCID (inizia con ocid1.generativeaiapikey.<region-realm>.<region-name>), quindi applicare il criterio. Per informazioni sull'OCID, vedere Ottenere i dettagli di una chiave API.

In un compartimento specifico
allow any-user to use generative-ai-family 
in compartment <compartment-name> 
where ALL {request.principal.type='generativeaiapikey', 
request.principal.id='<your-api-key-OCID>'}
In tutta la tenancy
allow any-user to use generative-ai-family in tenancy 
where ALL {request.principal.type='generativeaiapikey', 
request.principal.id='<your-api-key-OCID>'}

Autorizzazioni limitate: limite a modelli o operazioni

Per una maggiore sicurezza, limitare l'accesso a modelli o endpoint specifici (trovare gli ID modello nelle schede modello o gli ID endpoint nei dettagli degli endpoint, ad esempio xai.grok-4 per xAI Grok 4). Vedere Modelli supportati. Utilizzare generative-ai-family per l'accesso completo o generative-ai-chat per limitare l'accesso solo agli endpoint della chat (escluso incorporamento, riassegnazione, aggiornamenti del modello o cluster AI). Vedere Policy IAM per OCI Generative AI.

Qualsiasi chiave in un compartimento per modelli o endpoint specifici (accesso completo in lettura e aggiornamento)
allow any-user to use generative-ai-family 
in compartment <compartment-name>
where ALL {request.principal.type='generativeaiapikey', 
target.model.id in('<model-1>', 'model-2')
}
Qualsiasi chiave in un compartimento per modelli o endpoint specifici (solo chat):
allow any-user to use generative-ai-chat 
in compartment <compartment-name>
where ALL {request.principal.type='generativeaiapikey', 
target.model.id in('<model-1>', 'model-2')
}