Permissões para Usar e Gerenciar Armazenamentos Semânticos para NL2SQL

Você pode usar a Pesquisa SQL (NL2SQL) para converter solicitações de linguagem natural em SQL validada para dados corporativos na OCI Generative AI.

O NL2SQL ajuda os Enterprise AI Agents a trabalhar com dados corporativos federados sem mover ou duplicar os dados subjacentes. Ele usa uma camada de enriquecimento semântico para mapear termos de negócios para tabelas de banco de dados, colunas e junções e, em seguida, gera SQL com base na entrada de linguagem natural.

O NL2SQL gera apenas SQL. Ele não executa a consulta propriamente dita. A execução da consulta é tratada separadamente por meio do Servidor MCP do Database Tools, que autoriza e executa a consulta no banco de dados de origem usando a identidade do usuário final e os guardrails apropriados.

Este tópico inclui as permissões que um administrador do IAM deve adicionar a uma tenancy para que os armazenamentos semânticos acessem outros recursos e para que os administradores e usuários de armazenamentos semânticos acessem os armazenamentos semânticos e usem a ferramenta NL2SQL.

Administradores de armazenamento semântico são administradores que criam, atualizam, excluem e gerenciam o recurso de armazenamento semântico do OCI Generative AI e suas operações relacionadas ao NL2SQL.

Peça a um administrador para criar um grupo do IAM para os administradores. Neste tópico, o grupo de administradores é representado por:

allow group <semantic-store-admin> 
to manage generative-ai-semantic-store 
in compartment <compartment-with-semantic-store>

allow group <semantic-store-admin> 
to manage generative-ai-nl2sql 
in compartment <compartment-with-semantic-store>

Tarefas de administração disponíveis com as duas políticas anteriores

Um <semantic-store-admin> pode:

• criar o armazenamento semântico
• exibir e atualizá-lo
• excluir ou movê-lo
• acionar o enriquecimento
• inspecionar resultados de enriquecimento
• gerar SQL com base em linguagem natural para validação/teste
• gerenciar operações NL2SQL vinculadas ao armazenamento

Os usuários do armazenamento semântico são usuários finais que têm permissão para acessar um armazenamento semântico existente e usar recursos NL2SQL, mas não precisam administrar o recurso.

Peça a um administrador para criar um grupo do IAM para os usuários. Neste tópico, o grupo de usuários é representado por:

allow group <semantic-store-users> 
to read generative-ai-semantic-store 
in compartment <compartment-with-semantic-store>

allow group <semantic-store-users> 
to read generative-ai-nl2sql 
in compartment <compartment-with-semantic-store>

Tarefas do Usuário Disponíveis com as Duas Políticas Anteriores

O <semantic-store-users> pode:

• exibir o armazenamento semântico
• usar recursos relacionados a NL2SQL associados a ele
• inspecionar e consultar saídas
• acessar informações de enriquecimento

• Crie um grupo dinâmico para armazenamentos semânticos criados na tenancy ou em um compartimento especificado.
• Conceda permissão de grupo dinâmico para:
  • Acessar conexões do serviço Database Tools
  • Ler metadados do banco de dados
  • Ler metadados do Autonomous Database
  • Acessar inferência de IA generativa
  • Ler segredos usados por conexões do serviço Database Tools

1. Crie um grupo dinâmico para armazenamentos em massa na tenancy com a seguinte regra de correspondência:

   all {resource.type='generativeaisemanticstore'}

2. Para restringir os armazenamentos semânticos a um compartimento específico, atualize a condição anterior para:

   all {resource.type='generativeaisemanticstore',
    resource.compartment.id='<your-compartment-OCID>'}

3. Crie uma política para conceder ao grupo dinâmico permissão para acessar conexões do serviço Database Tools em um compartimento especificado.

   allow dynamic-group <dynamic-group-name> 
   to use database-tools-family in compartment <your-compartment-name>'}

4. Adicione uma política para conceder ao grupo dinâmico permissão para ler segredos usados pelas conexões do serviço Database Tools.

   allow dynamic-group <dynamic-group-name> 
   to read secret-family in compartment <your-compartment-name>

5. Adicione uma política para conceder ao grupo dinâmico permissão para ler metadados do Oracle Database para conexões do serviço Database Tools.

   allow dynamic-group <dynamic-group-name> 
   to read database-family in compartment <your-compartment-name>

6. Adicione uma política para conceder ao grupo dinâmico permissão para ler metadados do Autonomous Database para conexões e jobs de enriquecimento do serviço Database Tools.

   allow dynamic-group <dynamic-group-name> 
   to read autonomous-database-family in compartment <your-compartment-name>

7. Adicione uma política para conceder ao grupo dinâmico permissão para acessar os recursos do OCI Generative AI para inferência.

   allow dynamic-group <dynamic-group-name> 
   to use generative-ai-family in compartment <your-compartment-name>

O que as duas políticas anteriores fornecem

O recurso generativeaisemanticstore pode:

• invocar inferência de LLM por meio da IA generativa
• usar conexões do serviço Database Tools para enriquecimento e consulta
• ler segredos exigidos pelas conexões suportadas pelo Database Tools
• ler metadados do Oracle Database e do Autonomous Database

Consulte Acesso do Usuário a Recursos Individuais para obter permissões detalhadas no nível da API para cada tipo de recurso.