生成AIへのアクセス
OCI Identity and Access Management (IAM)ポリシーを使用して、OCI生成AIリソースにアクセスできます。
デフォルトでは、Administratorsグループのユーザーのみが生成AIリソースを含むすべてのOCIリソースにアクセスできます。別のグループのメンバーである場合は、次の項を確認して、職責を実行するために必要な最小限の権限を管理者に割り当てるように依頼してください。
- 生成AIプレイグラウンド、カスタム・モデル、専用AIクラスタおよびエンドポイントへのアクセス
-
- テナンシ全体のすべての生成AIリソースにアクセスするには、次のポリシーを使用します:
allow group <your-group-name> to manage generative-ai-family in tenancy - コンパートメント内のすべての生成AIリソースにアクセスするには、次のポリシーを使用します:
allow group <your-group-name> to manage generative-ai-family in compartment <your-compartment-name>
- テナンシ全体のすべての生成AIリソースにアクセスするには、次のポリシーを使用します:
- カスタム・モデルを微調整するための生成AIトレーニング・データセットへのアクセス
-
カスタム・モデルを微調整するためのトレーニング・データセットは、オブジェクト・ストレージ・バケットに格納する必要があります。カスタム・モデルを作成する場合は、モデルの作成ワークフローでそれらのトレーニング・データセットをリストおよび選択する権限が必要です。
- ユーザーがトレーニング・データセットをオブジェクト・ストレージ・バケットに微調整できるようにするには:
allow group <your-group-name> to manage object-family in compartment <compartment-with-bucket> - ユーザーがコンパートメントにカスタム・モデルを作成するときにリストし、トレーニング・データの微調整を選択できるようにするには:
allow group <your-group-name> to use object-family in compartment <compartment-with-bucket>
ノート
トレーニング・データとカスタム・モデルが異なるコンパートメントにある場合は、カスタム・モデルを作成するユーザーに、バケットを含むコンパートメント内のuse object-familyに対する権限があることを確認してください。 - ユーザーがトレーニング・データセットをオブジェクト・ストレージ・バケットに微調整できるようにするには:
管理者にオブジェクト・ストレージの保護の例を確認し、トレーニング・データを含むバケットが誤って削除されないようにポリシーなどのポリシーを適用するポリシーを追加するように依頼してください。
次の項では、生成AIの各操作に必要な権限をリストします。
リソース・タイプ
生成AIには、次の個別のリソース・タイプがあり、これらのリソースの使用方法について様々なユーザー・グループに異なる権限を割り当てることができます。
generative-ai-chat:基本の事前トレーニング済会話型チャット・モデルgenerative-ai-text-generation:基本の事前トレーニング済テキスト生成モデルgenerative-ai-text-summarization:基本の事前トレーニング済テキスト要約モデルgenerative-ai-text-embedding:基本の事前トレーニング済テキスト埋込みモデルgenerative-ai-model:カスタム・モデルgenerative-ai-dedicated-ai-cluster:専用AIクラスタgenerative-ai-endpoint:カスタム・モデルのエンドポイントgenerative-ai-work-request:生成AIアクションの作業リクエスト
生成AIの個々のリソース・タイプに対する権限を付与するかわりに、集約リソース・タイプgenerative-AI-familyを使用して、8つの生成AIリソース・タイプをすべて含めることができます。たとえば:
allow group <generative-ai-administrators> to manage generative-ai-family in tenancy| 集約リソース・タイプ | 含まれる個別リソース・タイプ |
|---|---|
generative-ai-family |
|
動詞+リソース・タイプの組合せの詳細
この項では、生成AI操作の権限をリストします。
アクセスのレベルは、inspectからread、use、manageの順に累積します。
たとえば、generative-ai-endpointリソース・タイプに対するmanage権限がある場合、エンドポイントをリスト、取得、作成および削除できます。エンドポイントをinspectするための別の権限は必要ありません。
generative-ai-chat
| 権限 | API操作 | 操作タイプ | 動詞 |
|---|---|---|---|
GENERATIVE_AI_CHAT |
Chat |
POST |
use |
例:
allow group GenAIusers to use generative-ai-chat in compartment AI-Models-Compartmentgenerative-ai-text-generation
| 権限 | API操作 | 操作タイプ | 動詞 |
|---|---|---|---|
GENERATIVE_AI_TEXT_GENERATE |
GenerateText |
POST |
use |
例:
allow group GenAIusers to use generative-ai-text-generation in compartment AI-Models-Compartmentgenerative-ai-text-summarization
| 権限 | API操作 | 操作タイプ | 動詞 |
|---|---|---|---|
GENERATIVE_AI_TEXT_SUMMARIZE |
SummarizeText |
POST |
use |
例:
allow group GenAIusers to use generative-ai-text-summarization in compartment AI-Models-Compartmentgenerative-ai-text-embedding
| 権限 | API操作 | 操作タイプ | 動詞 |
|---|---|---|---|
GENERATIVE_AI_TEXT_EMBED |
EmbedText |
POST |
use |
例:
allow group GenAIusers to use generative-ai-text-embedding in compartment AI-Models-Compartmentgenerative-ai-model
| 権限 | API操作 | 操作タイプ | 動詞 |
|---|---|---|---|
GENERATIVE_AI_MODEL_INSPECT |
ListModels |
GET |
inspect |
GENERATIVE_AI_MODEL_READ |
GetModel |
GET |
read |
GENERATIVE_AI_MODEL_UPDATE |
UpdateModel |
PUT |
use |
GENERATIVE_AI_MODEL_MOVE |
ChangeModelCompartment |
POST |
manage |
GENERATIVE_AI_MODEL_CREATE |
CreateModel |
POST |
manage |
GENERATIVE_AI_MODEL_DELETE |
DeleteModel |
DELETE |
manage |
例:
allow group GenAIusers to manage generative-ai-model in compartment AI-Models-Compartmentgenerative-ai-dedicated-ai-cluster
| 権限 | API操作 | 操作タイプ | 動詞 |
|---|---|---|---|
GENERATIVE_AI_DEDICATED_AI_CLUSTER_INSPECT |
ListDedicatedAiClusters |
GET |
inspect |
GENERATIVE_AI_DEDICATED_AI_CLUSTER_READ |
GetDedicatedAiCluster |
GET |
read |
GENERATIVE_AI_DEDICATED_AI_CLUSTER_UPDATE |
UpdateDedicatedAiCluster |
PUT |
use |
GENERATIVE_AI_DEDICATED_AI_CLUSTER_MOVE |
ChangeDedicatedAiClusterCompartment |
POST |
manage |
GENERATIVE_AI_DEDICATED_AI_CLUSTER_CREATE |
CreateDedicatedAiCluster |
POST |
manage |
GENERATIVE_AI_DEDICATED_AI_CLUSTER_DELETE |
DeleteDedicatedAiCluster |
DELETE |
manage |
例:
allow group GenAIusers to manage generative-ai-dedicated-ai-cluster in compartment AI-Models-Compartmentgenerative-ai-endpoint
| 権限 | API操作 | 操作タイプ | 動詞 |
|---|---|---|---|
GENERATIVE_AI_ENDPOINT_INSPECT |
ListEndpoints |
GET |
inspect |
GENERATIVE_AI_ENDPOINT_READ |
GetEndpoint |
GET |
read |
GENERATIVE_AI_ENDPOINT_UPDATE |
UpdateEndpoint |
PUT |
use |
GENERATIVE_AI_ENDPOINT_MOVE |
ChangeEndpointCompartment |
POST |
manage |
GENERATIVE_AI_ENDPOINT_CREATE |
CreateEndpoint |
POST |
manage |
GENERATIVE_AI_ENDPOINT_DELETE |
DeleteEndpoint |
DELETE |
manage |
例:
allow group GenAIusers to manage generative-ai-endpoint in compartment AI-Models-Compartmentgenerative-ai-work-request
| 権限 | API操作 | 操作タイプ | 動詞 |
|---|---|---|---|
GENERATIVE_AI_WORK_REQUEST_INSPECT |
ListWorkRequests |
GET |
inspect |
GENERATIVE_AI_WORK_REQUEST_READ |
GetWorkRequest |
GET |
read |
GENERATIVE_AI_WORK_REQUEST_ERRORS |
ListWorkRequestErrors |
GET |
read |
GENERATIVE_AI_WORK_REQUEST_LOGS_READ |
ListWorkRequestLogs |
GET |
read |
例:
allow group GenAIusers to read generative-ai-work-request in compartment AI-Models-CompartmentAPI操作ごとに必要な権限
次の表に、OCI生成AI API操作に必要な権限を示します。
| API操作 | 操作の使用に必要な権限 |
|---|---|
Chat |
GENERATIVE_AI_CHAT |
GenerateText |
GENERATIVE_AI_TEXT_GENERATE |
SummarizeText |
GENERATIVE_AI_TEXT_SUMMARIZE |
EmbedText |
GENERATIVE_AI_TEXT_EMBED |
ListModels |
GENERATIVE_AI_MODEL_INSPECT |
GetModel |
GENERATIVE_AI_MODEL_READ |
UpdateModel |
GENERATIVE_AI_MODEL_UPDATE |
ChangeModelCompartment |
GENERATIVE_AI_MODEL_MOVE |
CreateModel |
GENERATIVE_AI_MODEL_CREATE |
DeleteModel |
GENERATIVE_AI_MODEL_DELETE |
ListDedicatedAiClusters |
GENERATIVE_AI_DEDICATED_AI_CLUSTER_INSPECT |
GetDedicatedAiCluster |
GENERATIVE_AI_DEDICATED_AI_CLUSTER_READ |
UpdateDedicatedAiCluster |
GENERATIVE_AI_DEDICATED_AI_CLUSTER_UPDATE |
ChangeDedicatedAiClusterCompartment |
GENERATIVE_AI_DEDICATED_AI_CLUSTER_MOVE |
CreateDedicatedAiCluster |
GENERATIVE_AI_DEDICATED_AI_CLUSTER_CREATE |
DeleteDedicatedAiCluster |
GENERATIVE_AI_DEDICATED_AI_CLUSTER_DELETE |
ListEndpoints |
GENERATIVE_AI_ENDPOINT_INSPECT |
GetEndpoint |
GENERATIVE_AI_ENDPOINT_READ |
UpdateEndpoint |
GENERATIVE_AI_ENDPOINT_UPDATE |
ChangeEndpointCompartment |
GENERATIVE_AI_ENDPOINT_MOVE |
CreateEndpoint |
GENERATIVE_AI_ENDPOINT_CREATE |
DeleteEndpoint |
GENERATIVE_AI_ENDPOINT_DELETE |
ListWorkRequests |
GENERATIVE_AI_WORK_REQUEST_INSPECT |
GetWorkRequest |
GENERATIVE_AI_WORK_REQUEST_READ |
ListWorkRequestErrors |
GENERATIVE_AI_WORK_REQUEST_ERRORS |
ListWorkRequestLogs |
GENERATIVE_AI_WORK_REQUEST_LOGS_READ |