Autorizzazioni per la distribuzione delle applicazioni

Questo argomento descrive le autorizzazioni IAM necessarie per distribuire applicazioni di intelligenza artificiale generativa in OCI. Descrive l'accesso necessario agli utenti per creare e gestire applicazioni e distribuzioni e le autorizzazioni necessarie alle applicazioni per recuperare le immagini Docker da OCIR.

Informazioni sulle distribuzioni

Le applicazioni forniscono un runtime gestito per i carichi di lavoro di intelligenza artificiale generativa, tra cui scalabilità, storage, variabili d'ambiente, networking (egress e endpoint) e autenticazione tramite un dominio di Identity.
Le Distribuzioni all'interno di un'applicazione specificano un'immagine Docker OCIR (denominata artifact) per la distribuzione dell'applicazione.
Prima della distribuzione, il servizio di analisi delle vulnerabilità OCI analizza l'immagine Docker. Distribuzione non riuscita se la scansione rileva vulnerabilità critiche.
Workflow di distribuzione tipico
1. Creare un'applicazione.
2. Aggiungere una distribuzione.
3. Distribuire l'immagine Docker.

Autorizzazioni richieste

Impostare prima di creare le applicazioni.

Per il servizio di analisi delle vulnerabilità OCI

Concedere al servizio l'autorizzazione per leggere i repository in cui sono memorizzate le immagini Docker in modo che possa eseguire la scansione prima della distribuzione.

Per le applicazioni

Creare un gruppo dinamico per le applicazioni create in un compartimento specificato o nella tenancy.
Concedere al gruppo dinamico l'autorizzazione a leggere i repository OCIR nel compartimento specificato.
Concedere al gruppo dinamico l'autorizzazione per leggere i risultati della scansione delle vulnerabilità in modo che l'applicazione possa verificare che l'immagine superi la scansione prima della distribuzione.

Per gli utenti

Accesso alle risorse dell'applicazione.
Accesso alle risorse di distribuzione.
Accesso alle risorse artifact (immagini Docker).

Per il servizio di analisi delle vulnerabilità OCI

Concedere al servizio l'autorizzazione per leggere i repository in cui sono memorizzate le immagini Docker in modo che possa eseguire la scansione prima della distribuzione.

allow service vulnerability-scanning-service 
to read compartments in compartment <compartement-with-repos>

allow service vulnerability-scanning-service 
to read repos in compartment <compartement-with-repos>

Per le applicazioni OCI Generative AI

Creare un gruppo dinamico per le applicazioni e le relative distribuzioni create nella tenancy o in un compartimento specificato.
Concedere al gruppo dinamico l'autorizzazione a leggere i repository OCIR nel compartimento specificato.
Concedere al gruppo dinamico l'autorizzazione per leggere i risultati della scansione delle vulnerabilità in modo che l'applicazione possa verificare che l'immagine superi la scansione prima della distribuzione.

Creare un gruppo dinamico per le applicazioni e le distribuzioni nella tenancy con la regola di corrispondenza seguente:
```
all {resource.type='generativeaihostedapplication',
resource.type='generativeaihosteddeployment'}
```

Per limitare le applicazioni e le relative distribuzioni a un compartimento specifico, aggiornare la condizione precedente in modo che:

all {resource.type='generativeaihostedapplication',
resource.type='generativeaihosteddeployment',
resource.compartment.id='<your-compartment-OCID>'}

Creare un criterio per concedere al gruppo dinamico l'autorizzazione a leggere i repository OCIR in un compartimento specificato.
```
Allow dynamic-group <dynamic-group-name> 
to read repos in compartment <your-compartment-name>'}
```
Aggiungere un altro criterio per concedere al gruppo dinamico l'autorizzazione a leggere i risultati della scansione delle vulnerabilità in modo che l'applicazione possa verificare che l'immagine superi la scansione prima della distribuzione.
```
 Allow dynamic-group <dynamic-group-name> 
to read vss-family in compartment <your-compartment-name>
```
Se un agente deve accedere ad altre risorse OCI, aggiungere un criterio per leggere le risorse di tale servizio. Per esempi,

Esempio per l'accesso agente allo storage degli oggetti

Concedere l'autorizzazione di distribuzione hosted per la lettura dallo storage degli oggetti nel compartimento.
```
 Allow dynamic-group <dynamic-group-name> 
to read object-family in compartment <your-compartment-name>
```
Per ulteriori esempi, vedere Criteri comuni.

QuickStart Permessi per gli utenti

Per visualizzare le risorse

Aggiungere il criterio IAM minimo per visualizzare applicazioni, distribuzioni e artifact.

allow group <your-group-name> 
to use generative-ai-hosted-application in compartment <your-compartment-name>

allow group <your-group-name> 
to use generativeaihosteddeployment in compartment <your-compartment-name>

Per gestire le risorse

Se si creano ed eliminano applicazioni, distribuzioni e artifact, aggiungere l'autorizzazione manage:

allow group <your-group-name> 
to manage generative-ai-hosted-application in compartment <your-compartment>

allow group <your-group-name> 
to manage generativeaihosteddeployment in compartment <your-compartment>

Suggerimento

I tipi di risorsa generative-ai-hosted-application e generativeaihosteddeployment sono inclusi nel tipo di risorsa generative-ai-family.

Se si dispone dell'autorizzazione per la famiglia, ad esempio:

allow group <your-group-name> to manage generative-ai-family 
in compartment <your-compartment-name>

quindi, non è necessario aggiungere le autorizzazioni in questa sezione.

Autorizzazioni a livello di API

Vedere Accesso degli utenti alle singole risorse per le autorizzazioni a livello di API per ogni tipo di risorsa.