Documentação do Oracle Cloud Infrastructure

Adicionando Permissões de Chave

Para usar uma chave de API do OCI Generative AI, conceda permissão por meio de políticas do IAM no nível da tenancy ou do compartimento.

Essas políticas usam any-user como assunto para permitir o acesso a qualquer principal autenticado na tenancy (incluindo usuários, controladores de instância e controladores de recursos), mas a cláusula WHERE a restringe a solicitações em que o tipo de principal é generativeaiapikey (correspondente à chave da API). Com essa política, o serviço Generative AI pode autenticar e processar chamadas de API usando a chave sem acesso mais amplo.

Para um controle mais fino, substitua any-user por group <group-name> para limitar a política aos membros de um grupo específico (por exemplo, permitindo que apenas os usuários desse grupo chamem a API com a chave).

Personalize políticas por escopo (compartimento ou tenancy), granularidade (qualquer chave em comparação com uma específica), restrições de modelo ou tipos de operação (por exemplo, apenas chat). Use a ferramenta Policy Builder para simplificar. Crie políticas antes de gerar a chave se estiver autorizando todas as chaves em um compartimento ou para determinados modelos, crie a chave primeiro (para obter seu OCID) se estiver limitando a uma chave específica.

Permissões Gerais: Autorizar Qualquer Chave de API

Sem a necessidade de OCID, essa opção é ideal para acesso geral antes ou depois da criação da chave (adicione essa política antes de usar chaves).

Em um Compartimento Específico
allow any-user to use generative-ai-family 
in compartment <compartment-name> 
where ALL {request.principal.type='generativeaiapikey'}
Em Toda a Tenancy
allow any-user to use generative-ai-family 
in compartment <compartment-name>
where ALL {request.principal.type='generativeaiapikey', 
target.model.id in('<model-1>', 'model-2')
}

Permissões Específicas: Autorizar uma Única Chave de API

Gere a chave primeiro, recupere seu OCID (começa com ocid1.generativeaiapikey.<region-realm>.<region-name>) e aplique a política. Consulte Obtendo Detalhes de uma Chave de API para localizar o OCID.

Em um Compartimento Específico
allow any-user to use generative-ai-family 
in compartment <compartment-name> 
where ALL {request.principal.type='generativeaiapikey', 
request.principal.id='<your-api-key-OCID>'}
Em Toda a Tenancy
allow any-user to use generative-ai-family in tenancy 
where ALL {request.principal.type='generativeaiapikey', 
request.principal.id='<your-api-key-OCID>'}

Permissões Restritas: Limitar a Modelos ou Operações

Para maior segurança, restrinja o acesso a modelos ou pontos finais específicos (encontre IDs de modelo em cartões de modelo ou IDs de ponto final em detalhes de ponto final, por exemplo, xai.grok-4 para xAI Grok 4. Consulte Modelos Suportados). Use generative-ai-family para acesso total ou generative-ai-chat para restringir somente a pontos finais de chat (excluindo incorporação, reclassificação, atualizações de modelo ou clusters de IA). Consulte Políticas do IAM para o OCI Generative AI.

Qualquer Chave em um Compartimento para Modelos ou Pontos Finais Específicos (Acesso de Leitura e Atualização Completas)
allow any-user to use generative-ai-family 
in compartment <compartment-name>
where ALL {request.principal.type='generativeaiapikey', 
target.model.id in('<model-1>', 'model-2')
}
Qualquer Chave em um Compartimento para Modelos ou Pontos Finais Específicos (Somente Chat):
allow any-user to use generative-ai-chat 
in compartment <compartment-name>
where ALL {request.principal.type='generativeaiapikey', 
target.model.id in('<model-1>', 'model-2')
}