キー権限の追加

OCIDを必要としない場合、このオプションは、キーの作成前または作成後の一般的なアクセスに最適です(キーを使用する前にこのポリシーを追加してください)。

特定のコンパートメント内

allow any-user to use generative-ai-family 
in compartment <compartment-name> 
where ALL {request.principal.type='generativeaiapikey'}

テナンシ全体

allow any-user to use generative-ai-family 
in compartment <compartment-name>
where ALL {request.principal.type='generativeaiapikey', 
target.model.id in('<model-1>', 'model-2')
}

最初にキーを生成し、そのOCID (ocid1.generativeaiapikey.<region-realm>.<region-name>で始まる)を取得してから、ポリシーを適用します。OCIDの検索については、APIキーの詳細の取得を参照してください。

特定のコンパートメント内

allow any-user to use generative-ai-family 
in compartment <compartment-name> 
where ALL {request.principal.type='generativeaiapikey', 
request.principal.id='<your-api-key-OCID>'}

テナンシ全体

allow any-user to use generative-ai-family in tenancy 
where ALL {request.principal.type='generativeaiapikey', 
request.principal.id='<your-api-key-OCID>'}

セキュリティを強化するには、特定のモデルまたはエンドポイントへのアクセスを絞り込みます(たとえば、xAI Grok 4の場合はxai.grok-4のように、モデル・カードまたはエンドポイントIDでモデルIDを検索します)。サポートされているモデルを参照してください)。フル・アクセスの場合はgenerative-ai-familyを使用し、チャット・エンドポイントのみに制限する場合はgenerative-ai-chatを使用します(埋込み、再ランク、モデル更新またはAIクラスタを除く)。「生成AIへのアクセス」を参照してください。

特定のモデルまたはエンドポイントのコンパートメント内の任意のキー(完全な読取りおよび更新アクセス)

allow any-user to use generative-ai-family 
in compartment <compartment-name>
where ALL {request.principal.type='generativeaiapikey', 
target.model.id in('<model-1>', 'model-2')
}

特定のモデルまたはエンドポイントのコンパートメント内の任意のキー(チャットのみ):

allow any-user to use generative-ai-chat 
in compartment <compartment-name>
where ALL {request.principal.type='generativeaiapikey', 
target.model.id in('<model-1>', 'model-2')
}