Permissões para Implantar Aplicativos

Este tópico descreve as permissões do IAM necessárias para implantar aplicativos Generative AI no OCI. Ele descreve o acesso necessário para que os usuários criem e gerenciem aplicativos e implantações e as permissões necessárias para que os aplicativos recuperem imagens do Docker no OCIR.

Sobre Implantações

Os aplicativos fornecem um runtime gerenciado para cargas de trabalho do serviço Generative AI, incluindo dimensionamento, armazenamento, variáveis de ambiente, rede (saída e pontos finais) e autenticação por meio de um domínio de identidades.
Implantações em um aplicativo especificam uma imagem do Docker do OCIR (chamada artefato) para implantar o aplicativo.
Antes da implantação, o serviço Vulnerability Scanning do OCI verifica a imagem do Docker. A implantação falhará se a verificação localizar qualquer vulnerabilidade crítica.
Workflow de implantação típico
1. Crie um aplicativo.
2. Adicione uma implantação.
3. Implante a imagem do Docker.

Permissões Obrigatórias

Definir antes de criar aplicativos.

Para o serviço OCI Vulnerability Scanning

Conceda ao serviço permissão para ler os repositórios que armazenam as imagens do Docker para que ele possa verificá-las antes da implantação.

Para aplicativos

Crie um grupo dinâmico para aplicativos criados em um compartimento especificado ou na tenancy.
Conceda à permissão de grupo dinâmico para ler repositórios do OCIR no compartimento especificado.
Conceda ao grupo dinâmico permissão para ler os resultados da verificação de vulnerabilidade para que o aplicativo possa verificar se a imagem passa pela verificação antes da implantação.

Para usuários

Acesso aos recursos do aplicativo.
Acesso a recursos de implantação.
Acesso a recursos de artefato (imagens do Docker).

Para o OCI Vulnerability Scanning Service

Conceda ao serviço permissão para ler os repositórios que armazenam as imagens do Docker para que ele possa verificá-las antes da implantação.

allow service vulnerability-scanning-service 
to read compartments in compartment <compartement-with-repos>

allow service vulnerability-scanning-service 
to read repos in compartment <compartement-with-repos>

Para OCI Generative AI Applications

Crie um grupo dinâmico para aplicativos e suas implantações criados na tenancy ou em um compartimento especificado.
Conceda à permissão de grupo dinâmico para ler repositórios do OCIR no compartimento especificado.
Conceda ao grupo dinâmico permissão para ler os resultados da verificação de vulnerabilidade para que o aplicativo possa verificar se a imagem passa pela verificação antes da implantação.

Crie um grupo dinâmico para aplicativos e implantações na tenancy com a seguinte regra de correspondência:
```
all {resource.type='generativeaihostedapplication',
resource.type='generativeaihosteddeployment'}
```

Para restringir os aplicativos e suas implantações a um compartimento específico, atualize a condição anterior para:

all {resource.type='generativeaihostedapplication',
resource.type='generativeaihosteddeployment',
resource.compartment.id='<your-compartment-OCID>'}

Crie uma política para conceder ao grupo dinâmico permissão para ler repositórios do OCIR em um compartimento especificado.
```
Allow dynamic-group <dynamic-group-name> 
to read repos in compartment <your-compartment-name>'}
```
Adicione outra política para conceder ao grupo dinâmico permissão para ler os resultados da verificação de vulnerabilidade para que o aplicativo possa verificar se a imagem passa pela verificação antes da implantação.
```
 Allow dynamic-group <dynamic-group-name> 
to read vss-family in compartment <your-compartment-name>
```
Se um agente precisar acessar outros recursos do OCI, adicione uma política para ler os recursos desse serviço. Para exemplos,

Exemplo de acesso do agente ao Object Storage

Conceda à implantação hospedada permissão para ler no Object Storage em seu compartimento.
```
 Allow dynamic-group <dynamic-group-name> 
to read object-family in compartment <your-compartment-name>
```
Para obter mais exemplos, consulte Políticas Comuns.

QuickStart Permissões para Usuários

Para Exibir os Recursos

Adicione a política mínima do IAM para exibir aplicativos, implantações e artefatos.

allow group <your-group-name> 
to use generative-ai-hosted-application in compartment <your-compartment-name>

allow group <your-group-name> 
to use generativeaihosteddeployment in compartment <your-compartment-name>

Para Gerenciar Recursos

Se você criar e excluir aplicativos, implantações e artefatos, adicione a permissão manage:

allow group <your-group-name> 
to manage generative-ai-hosted-application in compartment <your-compartment>

allow group <your-group-name> 
to manage generativeaihosteddeployment in compartment <your-compartment>

Dica

Os tipos de recursos generative-ai-hosted-application e generativeaihosteddeployment são incluídos no tipo de recurso generative-ai-family.

Se você tem permissão para a família, por exemplo:

allow group <your-group-name> to manage generative-ai-family 
in compartment <your-compartment-name>

então, você não precisa adicionar as permissões nesta seção.

Permissões no Nível da API

Consulte Acesso do Usuário a Recursos Individuais para obter permissões detalhadas no nível da API para cada tipo de recurso.