生成AIエージェントへのアクセス
OCI Identity and Access Management (IAM)ポリシーを使用して、生成AIエージェント・リソースにアクセスできます。
デフォルトでは、Administrators
グループのユーザーのみが生成AIエージェント・リソースを含むすべてのOCIリソースにアクセスできます。別のグループのメンバーである場合は、次の項を確認して、職責を実行するために必要な最小限の権限を管理者に割り当てるように依頼してください。
サービスを使用する前にポリシーを追加
生成AIエージェントを使用する前に、次のポリシーを追加するよう管理者に依頼してください:
エージェント、ナレッジ・ベース、データ・ソース、データ取込みジョブ、エージェント・セッション、エージェント作業リクエスト、エンドポイントなどの生成AIエージェント・リソースへのアクセス権をユーザーに付与します
- テナンシ全体のすべての生成AIエージェント・リソースにアクセスするには、次のポリシーを使用します:
allow group <genai-agent-administrators> to manage genai-agent-family in tenancy
- コンパートメント内のすべての生成AIエージェント・リソースにアクセスするには、次のポリシーを使用します:
allow group <genai-agent-administrators> to manage genai-agent-family in compartment <your-compartment-name>
ユーザーがアクセスできる特定のリソースのみを選択するには、About Generative AI Agents Resource-TypeおよびGiving Users Granular Permission for Each Resource-Typeを参照してください。
エージェントのデータファイルがOCIオブジェクト・ストレージ・バケットにある場合は、生成AIエージェント・サービス内でそれらのファイルをリストおよび選択する権限が必要です。
- オブジェクト・ストレージ・ファイルをナレッジ・ベースに追加する権限をユーザーに付与するには:
allow group <your-group-name> to manage object-family in compartment <compartment-with-bucket>
オブジェクト・ストレージのファイルおよびエージェントが異なるコンパートメントにある場合は、エージェントを作成するユーザーに、バケットを含むコンパートメント内の
manage object-family
に対する権限があることを確認してください。管理者にオブジェクト・ストレージの保護の例を確認し、トレーニング・データを含むバケットが誤って削除されないようにポリシーなどのポリシーを適用するポリシーを追加するように依頼してください。
OCI Object Storageから大量のコンテンツを取り込むには、次のステップに従って、24時間以上実行される可能性のあるデータ取込みジョブのリソース・プリンシパルを作成します。
- 「動的グループの作成」のステップに従って、一致ルールに次の詳細を指定します。
- 「一致ルール」セクションで、「下で定義したいずれかのルールに一致」をクリックします。
- 次の照合ルールを入力します。
ALL {resource.type='genaiagentdataingestionjob'}
genaiagentdataingestionjob
リソース・タイプは、データ収集ジョブのリソース・プリンシパルです。前述の一致ルールは、この動的グループが生成AIエージェントのデータ取込みジョブ・リソースを表すことを意味します。動的グループ・メンバーシップを、前の一致ルールではなく、特定のコンパートメントで作成されたデータ取込みジョブに制限するには、次のものを使用します:
ALL {resource.type = 'genaiagentdataingestionjob', resource.compartment.id = '<compartment-ocid-for-ingestion-jobs>’}
- この動的グループが、指定されたコンパートメント内のオブジェクト・ストレージ・オブジェクトにアクセスできるようにします。
allow dynamic-group <dynamic-group-name> to read objects in compartment <compartment-name-for-objects>
より多くの条件でポリシーをさらに制限できます。たとえば:allow dynamic-group <dynamic-group-name> to read objects in tenancy where all {target.compartment.id='<compartment_ocid>’, target.bucket.name=<bucket-name>, target.bucket.tag.MyTagNamespace.TagKey='<MyTagValue>'}
ポリシーの記述の例の詳細は、オブジェクト・ストレージの保護を参照してください。
ノート
バケット名、コンパートメントおよびタグを含む条件を使用して、オブジェクト・ストレージへのアクセスを制限できます。target.object.name
などのポリシーでオブジェクト名または接頭辞を指定してアクセスを制限することはサポートされておらず、データ取込みジョブが失敗する可能性があります。
データがOracle Databaseベクトル・ストアにある場合、またはOpenSearchを使用したOCI検索の場合は、次のタスクを実行します。
- Oracle Databaseデータの場合は、Oracle Databaseの生成AIエージェント・ガイドラインのタスクを実行します。
- OpenSearchデータを使用したOCI検索の場合は、「生成AIエージェントのOCI検索のOpenSearchガイドライン」のタスクを実行します。
- 「動的グループの作成」のステップに従って、一致ルールに次の詳細を指定します。
- 「一致ルール」セクションで、「下で定義したいずれかのルールに一致」をクリックします。
- 次の照合ルールを入力します。
ALL {resource.type='genaiagent'}
genaiagent
リソース・タイプは、エージェントのリソース・プリンシパルです。前述の一致ルールは、この動的グループが生成AIエージェント・エージェント・リソースを表すことを意味します。 - この動的グループが、Oracle Databaseベクトル・ストアまたはOpenSearchシークレットのあるOCI検索を使用して、コンパートメント内のOCI Vaultシークレットにアクセスできるようにします。
allow dynamic-group <dynamic-group-name> to read secret-bundle in compartment <compartment-name>
データがOracle Database 23aiにある場合は、前の項で作成した動的グループを更新し、この動的グループがOCIデータベース・ツールにアクセスできるようにする別のルールを追加します。
allow dynamic-group <dynamic-group-name>
to read database-tools-family in compartment <compartment-name>
生成AIエージェント・リソース・タイプについて
生成AIエージェントには、Identity and Access Managementポリシーで使用する次の個別のリソース・タイプがあります。次のリソース・タイプの使用方法に基づいて、様々なユーザー・グループに異なる権限を割り当てることができます。
genai-agent
: エージェントgenai-agent-knowledge-base
: エージェントに関連付けられたナレッジ・ベース。genai-agent-data-source
: ナレッジ・ベースに関連付けられたデータ・ソースgenai-agent-data-ingestion-job
: データ・ソースからデータを取り込むジョブ。genai-agent-endpoint
: エージェントにアクセスするためのエンドポイントgenai-agent-work-request
: 生成AIエージェント操作の作業リクエストgenai-agent-session
: エージェントのチャット・セッション
genai-agent-family
を使用して、7つの生成AIエージェント・リソース・タイプをすべてポリシーに含めることができます。たとえば: allow group <genai-agent-administrators> to manage genai-agent-family in tenancy
集約リソース・タイプ | 含まれる個別リソース・タイプ |
---|---|
genai-agent-family |
|
ユーザーへの各リソース・タイプのきめ細かな権限の付与
この項では、生成AIエージェント操作の権限をリストします。アクセスのレベルは、inspect
からread
、use
、manage
の順に累積します。たとえば、genai-agent-endpoint
リソース・タイプをmanage
する権限がある場合、エンドポイントをリスト、取得、作成および削除できます。エンドポイントをinspect
するための別の権限は必要ありません。権限の各リソース・タイプを展開します。
権限 | API操作 | 操作タイプ | 動詞 |
---|---|---|---|
GENAI_AGENT_INSPECT |
ListAgents |
GET |
inspect |
GENAI_AGENT_READ |
GetAgent |
GET |
read |
GENAI_AGENT_UPDATE |
UpdateAgent |
PUT |
use |
GENAI_AGENT_MOVE |
ChangeAgentCompartment |
POST |
manage |
GENAI_AGENT_CREATE |
CreateAgent |
POST |
manage |
GENAI_AGENT_DELETE |
DeleteAgent |
DELETE |
manage |
allow group GenAI-agents-users to use genai-agent in compartment GenAI-agents-compartment
権限 | API操作 | 操作タイプ | 動詞 |
---|---|---|---|
GENAI_AGENT_KNOWLEDGE_BASE_INSPECT |
ListKnowledgeBases |
GET |
inspect |
GENAI_AGENT_KNOWLEDGE_BASE_READ |
GetKnowledgeBase |
GET |
read |
GENAI_AGENT_KNOWLEDGE_BASE_UPDATE |
UpdateKnowledgeBase |
PUT |
use |
GENAI_AGENT_KNOWLEDGE_BASE_MOVE |
ChangeKnowledgeBaseCompartment |
POST |
manage |
GENAI_AGENT_KNOWLEDGE_BASE_CREATE |
CreateKnowledgeBase |
POST |
manage |
GENAI_AGENT_KNOWLEDGE_BASE_DELETE |
DeleteKnowledgeBase |
DELETE |
manage |
allow group GenAI-agents-users to manage genai-agent-knowledge-base in compartment GenAI-agents-compartment
権限 | API操作 | 操作タイプ | 動詞 |
---|---|---|---|
GENAI_AGENT_DATASOURCE_INSPECT |
ListDataSources |
GET |
inspect |
GENAI_AGENT_DATASOURCE_READ |
GetDataSource |
GET |
read |
GENAI_AGENT_DATASOURCE_UPDATE |
UpdateDataSource |
PUT |
use |
AGENT_DATASOURCE_MOVE |
ChangeDataSourceCompartment |
POST |
manage |
GENAI_AGENT_DATASOURCE_CREATE |
CreateDataSource |
POST |
manage |
GENAI_AGENT_DATASOURCE_DELETE |
DeleteDataSource |
DELETE |
manage |
allow group GenAI-agents-users to inspect genai-agent-data-source in compartment GenAI-agents-compartment
権限 | API操作 | 操作タイプ | 動詞 |
---|---|---|---|
GENAI_AGENT_DATA_INGESTION_JOB_INSPECT |
ListDataIngestionJobs |
GET |
inspect |
GENAI_AGENT_DATA_INGESTION_JOB_READ |
GetDataIngestionJob |
GET |
read |
GENAI_AGENT_DATA_INGESTION_JOB_UPDATE |
UpdateDataIngestionJob |
PUT |
use |
GENAI_AGENT_DATA_INGESTION_JOB_MOVE |
ChangeDataIngestionJobCompartment |
POST |
use |
GENAI_AGENT_DATA_INGESTION_JOB_CREATE |
CreateDataIngestionJob |
POST |
manage |
GENAI_AGENT_DATA_INGESTION_JOB_DELETE |
DeleteDataIngestionJob |
DELETE |
manage |
allow group GenAI-agents-users to inspect genai-agent-data-ingestion-job in compartment GenAI-agents-compartment
権限 | API操作 | 操作タイプ | 動詞 |
---|---|---|---|
GENAI_AGENT_ENDPOINT_INSPECT |
ListAgentEndpoints |
GET |
inspect |
GENAI_AGENT_ENDPOINT_READ |
GetAgentEndpoint |
GET |
read |
GENAI_AGENT_ENDPOINT_UPDATE |
UpdateAgentEndpoint |
PUT |
use |
GENAI_AGENT_ENDPOINT_MOVE |
ChangeAgentEndpointCompartment |
POST |
use |
GENAI_AGENT_ENDPOINT_CREATE |
CreateAgentEndpoint |
POST |
manage |
GENAI_AGENT_ENDPOINT_CHAT |
Chat |
POST |
use |
GENAI_AGENT_ENDPOINT_DELETE |
DeleteAgentEndpoint |
DELETE |
manage |
allow group GenAI-agents-users to manage genai-agent-endpoint in compartment GenAI-agents-compartment
権限 | API操作 | 操作タイプ | 動詞 |
---|---|---|---|
GENAI_AGENT_WORK_REQUEST_INSPECT |
ListWorkRequests |
GET |
inspect |
GENAI_AGENT_WORK_REQUEST_READ |
GetWorkRequest |
GET |
read |
GENAI_AGENT_WORK_REQUEST_ERRORS_READ |
GetWorkRequestErrors |
GET |
read |
GENAI_AGENT_WORK_REQUEST_LOGS_READ |
GetWorkRequestLogs |
GET |
read |
allow group GenAI-agents-users to read genai-agent-work-request in compartment GenAI-agents-compartment
権限 | API操作 | 操作タイプ | 動詞 |
---|---|---|---|
GENAI_AGENT_SESSION_INSPECT |
ListSessions |
GET |
inspect |
GENAI_AGENT_SESSION_READ |
GetSession |
GET |
read |
GENAI_AGENT_SESSION_UPDATE |
UpdateSession |
PUT |
use |
GENAI_AGENT_SESSION_CREATE |
CreateSession |
POST |
manage |
GENAI_AGENT_SESSION_END |
EndSession |
POST |
manage |
GENAI_AGENT_SESSION_DELETE |
DeleteSession |
DELETE |
manage |
allow group GenAI-agents-users to manage genai-agent-session in compartment GenAI-agents-compartment
権限とAPI操作の照合
次の表に、生成AIエージェントAPI操作に必要な権限を示します。
API操作 | 操作の使用に必要な権限 |
---|---|
ListAgents |
GENAI_AGENT_INSPECT |
GetAgent |
GENAI_AGENT_READ |
UpdateAgent |
GENAI_AGENT_UPDATE |
ChangeAgentCompartment |
GENAI_AGENT_MOVE |
CreateAgent |
GENAI_AGENT_CREATE |
DeleteAgent |
GENAI_AGENT_DELETE |
ListKnowledgeBases |
GENAI_AGENT_KNOWLEDGE_BASE_INSPECT |
GetKnowledgeBase |
GENAI_AGENT_KNOWLEDGE_BASE_READ |
UpdateKnowledgeBase |
GENAI_AGENT_KNOWLEDGE_BASE_UPDATE |
ChangeKnowledgeBaseCompartment |
GENAI_AGENT_KNOWLEDGE_BASE_MOVE |
CreateKnowledgeBase |
GENAI_AGENT_KNOWLEDGE_BASE_CREATE |
DeleteKnowledgeBase |
GENAI_AGENT_KNOWLEDGE_BASE_DELETE |
ListDataSources |
GENAI_AGENT_DATASOURCE_INSPECT |
GetDataSource |
GENAI_AGENT_DATASOURCE_READ |
UpdateDataSource |
GENAI_AGENT_DATASOURCE_UPDATE |
ChangeDataSourceCompartment |
AGENT_DATASOURCE_MOVE |
CreateDataSource |
GENAI_AGENT_DATASOURCE_CREATE |
DeleteDataSource |
GENAI_AGENT_DATASOURCE_DELETE |
ListDataIngestionJobs |
GENAI_AGENT_DATA_INGESTION_JOB_INSPECT |
GetDataIngestionJob |
GENAI_AGENT_DATA_INGESTION_JOB_READ |
UpdateDataIngestionJob |
GENAI_AGENT_DATA_INGESTION_JOB_UPDATE |
ChangeDataIngestionJobCompartment |
GENAI_AGENT_DATA_INGESTION_JOB_MOVE |
CreateDataIngestionJob |
GENAI_AGENT_DATA_INGESTION_JOB_CREATE |
DeleteDataIngestionJob |
GENAI_AGENT_DATA_INGESTION_JOB_DELETE |
ListAgentEndpoints |
GENAI_AGENT_ENDPOINT_INSPECT |
GetAgentEndpoint |
GENAI_AGENT_ENDPOINT_READ |
UpdateAgentEndpoint |
GENAI_AGENT_ENDPOINT_UPDATE |
ChangeAgentEndpointCompartment |
GENAI_AGENT_ENDPOINT_MOVE |
CreateAgentEndpoint |
AGENAI_AGENT_ENDPOINT_CREATE |
DeleteAgentEndpoint |
GENAI_AGENT_ENDPOINT_DELETE |
Chat |
GENAI_AGENT_ENDPOINT_CHAT |
ListSessions |
GENAI_AGENT_SESSION_INSPECT |
GetSession |
GENAI_AGENT_SESSION_READ |
UpdateSession |
GENAI_AGENT_SESSION_UPDATE |
CreateSession |
GENAI_AGENT_SESSION_CREATE |
EndSession |
GENAI_AGENT_SESSION_END |
DeleteSession |
GENAI_AGENT_SESSION_DELETE |
ListWorkRequests |
GENAI_AGENT_WORK_REQUEST_INSPECT |
GetWorkRequest |
GENAI_AGENT_WORK_REQUEST_READ |
GetWorkRequestErrors |
GENAI_AGENT_WORK_REQUEST_ERRORS_READ |
GetWorkRequestLogs |
GENAI_AGENT_WORK_REQUEST_LOGS_READ |