生成AIエージェントへのアクセス

OCI Identity and Access Management (IAM)ポリシーを使用して、生成AIエージェント・リソースにアクセスできます。

デフォルトでは、Administratorsグループのユーザーのみが生成AIエージェント・リソースを含むすべてのOCIリソースにアクセスできます。別のグループのメンバーである場合は、次の項を確認して、職責を実行するために必要な最小限の権限を管理者に割り当てるように依頼してください。

サービスを使用する前にポリシーを追加

生成AIエージェントを使用する前に、次のポリシーを追加するよう管理者に依頼してください:

すべての生成AIエージェント・リソースへのユーザー・アクセス

エージェント、ナレッジ・ベース、データ・ソース、データ取込みジョブ、エージェント・セッション、エージェント作業リクエスト、エンドポイントなどの生成AIエージェント・リソースへのアクセス権をユーザーに付与します

  • テナンシ全体のすべての生成AIエージェント・リソースにアクセスするには、次のポリシーを使用します:
    allow group <genai-agent-administrators> to manage genai-agent-family in tenancy
  • コンパートメント内のすべての生成AIエージェント・リソースにアクセスするには、次のポリシーを使用します:
    allow group <genai-agent-administrators> to manage genai-agent-family in compartment <your-compartment-name>
重要

ユーザーがアクセスできる特定のリソースのみを選択するには、About Generative AI Agents Resource-TypeおよびGiving Users Granular Permission for Each Resource-Typeを参照してください。

データ・ソースのオブジェクト・ストレージ・ファイルへのユーザー・アクセス

エージェントのデータファイルがOCIオブジェクト・ストレージ・バケットにある場合は、生成AIエージェント・サービス内でそれらのファイルをリストおよび選択する権限が必要です。

  • オブジェクト・ストレージ・ファイルをナレッジ・ベースに追加する権限をユーザーに付与するには:
    allow group <your-group-name> to manage object-family in compartment <compartment-with-bucket>
ノート

オブジェクト・ストレージのファイルおよびエージェントが異なるコンパートメントにある場合は、エージェントを作成するユーザーに、バケットを含むコンパートメント内のmanage object-familyに対する権限があることを確認してください。

管理者にオブジェクト・ストレージの保護の例を確認し、トレーニング・データを含むバケットが誤って削除されないようにポリシーなどのポリシーを適用するポリシーを追加するように依頼してください。

長時間実行ジョブのオブジェクト・ストレージ・ファイルへのデータ収集ジョブ・アクセス

OCI Object Storageから大量のコンテンツを取り込むには、次のステップに従って、24時間以上実行される可能性のあるデータ取込みジョブのリソース・プリンシパルを作成します。

  1. 「動的グループの作成」のステップに従って、一致ルールに次の詳細を指定します。
    1. 「一致ルール」セクションで、「下で定義したいずれかのルールに一致」をクリックします。
    2. 次の照合ルールを入力します。
      ALL {resource.type='genaiagentdataingestionjob'}

      genaiagentdataingestionjobリソース・タイプは、データ収集ジョブのリソース・プリンシパルです。前述の一致ルールは、この動的グループが生成AIエージェントのデータ取込みジョブ・リソースを表すことを意味します。

      動的グループ・メンバーシップを、前の一致ルールではなく、特定のコンパートメントで作成されたデータ取込みジョブに制限するには、次のものを使用します:

      ALL {resource.type = 'genaiagentdataingestionjob', 
      resource.compartment.id = '<compartment-ocid-for-ingestion-jobs>’}
      
    3. この動的グループが、指定されたコンパートメント内のオブジェクト・ストレージ・オブジェクトにアクセスできるようにします。
      allow dynamic-group <dynamic-group-name> 
      to read objects in compartment <compartment-name-for-objects>
      
      より多くの条件でポリシーをさらに制限できます。たとえば:
      allow dynamic-group <dynamic-group-name> 
      to read objects in tenancy where all {target.compartment.id='<compartment_ocid>’, 
      target.bucket.name=<bucket-name>, 
      target.bucket.tag.MyTagNamespace.TagKey='<MyTagValue>'}
      

      ポリシーの記述の例の詳細は、オブジェクト・ストレージの保護を参照してください。

      ノート

      バケット名、コンパートメントおよびタグを含む条件を使用して、オブジェクト・ストレージへのアクセスを制限できます。target.object.nameなどのポリシーでオブジェクト名または接頭辞を指定してアクセスを制限することはサポートされておらず、データ取込みジョブが失敗する可能性があります。
Oracle DatabaseおよびOpenSearchのVaultシークレットへのサービス・アクセス

データがOracle Databaseベクトル・ストアにある場合、またはOpenSearchを使用したOCI検索の場合は、次のタスクを実行します。

  1. Oracle Databaseデータの場合は、Oracle Databaseの生成AIエージェント・ガイドラインのタスクを実行します。
  2. OpenSearchデータを使用したOCI検索の場合は、「生成AIエージェントのOCI検索のOpenSearchガイドライン」のタスクを実行します。
  3. 「動的グループの作成」のステップに従って、一致ルールに次の詳細を指定します。
    1. 「一致ルール」セクションで、「下で定義したいずれかのルールに一致」をクリックします。
    2. 次の照合ルールを入力します。
      ALL {resource.type='genaiagent'}

      genaiagentリソース・タイプは、エージェントのリソース・プリンシパルです。前述の一致ルールは、この動的グループが生成AIエージェント・エージェント・リソースを表すことを意味します。

    3. この動的グループが、Oracle Databaseベクトル・ストアまたはOpenSearchシークレットのあるOCI検索を使用して、コンパートメント内のOCI Vaultシークレットにアクセスできるようにします。
      allow dynamic-group <dynamic-group-name> 
      to read secret-bundle in compartment <compartment-name>
      
Oracle Databaseツールへのサービス・アクセス

データがOracle Database 23aiにある場合は、前の項で作成した動的グループを更新し、この動的グループがOCIデータベース・ツールにアクセスできるようにする別のルールを追加します。

allow dynamic-group <dynamic-group-name> 
to read database-tools-family in compartment <compartment-name>

生成AIエージェント・リソース・タイプについて

生成AIエージェントには、Identity and Access Managementポリシーで使用する次の個別のリソース・タイプがあります。次のリソース・タイプの使用方法に基づいて、様々なユーザー・グループに異なる権限を割り当てることができます。

  • genai-agent: エージェント
  • genai-agent-knowledge-base: エージェントに関連付けられたナレッジ・ベース。
  • genai-agent-data-source: ナレッジ・ベースに関連付けられたデータ・ソース
  • genai-agent-data-ingestion-job: データ・ソースからデータを取り込むジョブ。
  • genai-agent-endpoint: エージェントにアクセスするためのエンドポイント
  • genai-agent-work-request: 生成AIエージェント操作の作業リクエスト
  • genai-agent-session: エージェントのチャット・セッション
前述の個々のリソース・タイプに加えて、集約リソース・タイプgenai-agent-familyを使用して、7つの生成AIエージェント・リソース・タイプをすべてポリシーに含めることができます。たとえば:
allow group <genai-agent-administrators> to manage genai-agent-family in tenancy
集約リソース・タイプ 含まれる個別リソース・タイプ
genai-agent-family
  • genai-agent
  • genai-agent-knowledge-base
  • genai-agent-data-source
  • genai-agent-data-ingestion-job
  • genai-agent-endpoint
  • genai-agent-session
  • genai-agent-work-request

ユーザーへの各リソース・タイプのきめ細かな権限の付与

この項では、生成AIエージェント操作の権限をリストします。アクセスのレベルは、inspectからreadusemanageの順に累積します。たとえば、genai-agent-endpointリソース・タイプをmanageする権限がある場合、エンドポイントをリスト、取得、作成および削除できます。エンドポイントをinspectするための別の権限は必要ありません。権限の各リソース・タイプを展開します。

ゲナイエージェント
権限 API操作 操作タイプ 動詞
GENAI_AGENT_INSPECT ListAgents GET inspect
GENAI_AGENT_READ GetAgent GET read
GENAI_AGENT_UPDATE UpdateAgent PUT use
GENAI_AGENT_MOVE ChangeAgentCompartment POST manage
GENAI_AGENT_CREATE CreateAgent POST manage
GENAI_AGENT_DELETE DeleteAgent DELETE manage
例:
allow group GenAI-agents-users to use genai-agent in compartment GenAI-agents-compartment
Genai-agent- ナレッジベース
権限 API操作 操作タイプ 動詞
GENAI_AGENT_KNOWLEDGE_BASE_INSPECT ListKnowledgeBases GET inspect
GENAI_AGENT_KNOWLEDGE_BASE_READ GetKnowledgeBase GET read
GENAI_AGENT_KNOWLEDGE_BASE_UPDATE UpdateKnowledgeBase PUT use
GENAI_AGENT_KNOWLEDGE_BASE_MOVE ChangeKnowledgeBaseCompartment POST manage
GENAI_AGENT_KNOWLEDGE_BASE_CREATE CreateKnowledgeBase POST manage
GENAI_AGENT_KNOWLEDGE_BASE_DELETE DeleteKnowledgeBase DELETE manage
次に例を示します:
allow group GenAI-agents-users to manage genai-agent-knowledge-base in compartment GenAI-agents-compartment
genai-agent-data-source
権限 API操作 操作タイプ 動詞
GENAI_AGENT_DATASOURCE_INSPECT ListDataSources GET inspect
GENAI_AGENT_DATASOURCE_READ GetDataSource GET read
GENAI_AGENT_DATASOURCE_UPDATE UpdateDataSource PUT use
AGENT_DATASOURCE_MOVE ChangeDataSourceCompartment POST manage
GENAI_AGENT_DATASOURCE_CREATE CreateDataSource POST manage
GENAI_AGENT_DATASOURCE_DELETE DeleteDataSource DELETE manage
例:
allow group GenAI-agents-users to inspect genai-agent-data-source in compartment GenAI-agents-compartment
genai-agent-data-ingestion-job
権限 API操作 操作タイプ 動詞
GENAI_AGENT_DATA_INGESTION_JOB_INSPECT ListDataIngestionJobs GET inspect
GENAI_AGENT_DATA_INGESTION_JOB_READ GetDataIngestionJob GET read
GENAI_AGENT_DATA_INGESTION_JOB_UPDATE UpdateDataIngestionJob PUT use
GENAI_AGENT_DATA_INGESTION_JOB_MOVE ChangeDataIngestionJobCompartment POST use
GENAI_AGENT_DATA_INGESTION_JOB_CREATE CreateDataIngestionJob POST manage
GENAI_AGENT_DATA_INGESTION_JOB_DELETE DeleteDataIngestionJob DELETE manage
次に例を示します:
allow group GenAI-agents-users to inspect genai-agent-data-ingestion-job in compartment GenAI-agents-compartment
genai-agent-endpoint
権限 API操作 操作タイプ 動詞
GENAI_AGENT_ENDPOINT_INSPECT ListAgentEndpoints GET inspect
GENAI_AGENT_ENDPOINT_READ GetAgentEndpoint GET read
GENAI_AGENT_ENDPOINT_UPDATE UpdateAgentEndpoint PUT use
GENAI_AGENT_ENDPOINT_MOVE ChangeAgentEndpointCompartment POST use
GENAI_AGENT_ENDPOINT_CREATE CreateAgentEndpoint POST manage
GENAI_AGENT_ENDPOINT_CHAT Chat POST use
GENAI_AGENT_ENDPOINT_DELETE DeleteAgentEndpoint DELETE manage
次に例を示します:
allow group GenAI-agents-users to manage genai-agent-endpoint in compartment GenAI-agents-compartment
Genai-agent-work-request
権限 API操作 操作タイプ 動詞
GENAI_AGENT_WORK_REQUEST_INSPECT ListWorkRequests GET inspect
GENAI_AGENT_WORK_REQUEST_READ GetWorkRequest GET read
GENAI_AGENT_WORK_REQUEST_ERRORS_READ GetWorkRequestErrors GET read
GENAI_AGENT_WORK_REQUEST_LOGS_READ GetWorkRequestLogs GET read
次に例を示します:
allow group GenAI-agents-users to read genai-agent-work-request in compartment GenAI-agents-compartment
ゲナイエージェントセッション
権限 API操作 操作タイプ 動詞
GENAI_AGENT_SESSION_INSPECT ListSessions GET inspect
GENAI_AGENT_SESSION_READ GetSession GET read
GENAI_AGENT_SESSION_UPDATE UpdateSession PUT use
GENAI_AGENT_SESSION_CREATE CreateSession POST manage
GENAI_AGENT_SESSION_END EndSession POST manage
GENAI_AGENT_SESSION_DELETE DeleteSession DELETE manage
次に例を示します:
allow group GenAI-agents-users to manage genai-agent-session in compartment GenAI-agents-compartment

権限とAPI操作の照合

次の表に、生成AIエージェントAPI操作に必要な権限を示します。

この権限表の拡張
API操作 操作の使用に必要な権限
ListAgents GENAI_AGENT_INSPECT
GetAgent GENAI_AGENT_READ
UpdateAgent GENAI_AGENT_UPDATE
ChangeAgentCompartment GENAI_AGENT_MOVE
CreateAgent GENAI_AGENT_CREATE
DeleteAgent GENAI_AGENT_DELETE
ListKnowledgeBases GENAI_AGENT_KNOWLEDGE_BASE_INSPECT
GetKnowledgeBase GENAI_AGENT_KNOWLEDGE_BASE_READ
UpdateKnowledgeBase GENAI_AGENT_KNOWLEDGE_BASE_UPDATE
ChangeKnowledgeBaseCompartment GENAI_AGENT_KNOWLEDGE_BASE_MOVE
CreateKnowledgeBase GENAI_AGENT_KNOWLEDGE_BASE_CREATE
DeleteKnowledgeBase GENAI_AGENT_KNOWLEDGE_BASE_DELETE
ListDataSources GENAI_AGENT_DATASOURCE_INSPECT
GetDataSource GENAI_AGENT_DATASOURCE_READ
UpdateDataSource GENAI_AGENT_DATASOURCE_UPDATE
ChangeDataSourceCompartment AGENT_DATASOURCE_MOVE
CreateDataSource GENAI_AGENT_DATASOURCE_CREATE
DeleteDataSource GENAI_AGENT_DATASOURCE_DELETE
ListDataIngestionJobs GENAI_AGENT_DATA_INGESTION_JOB_INSPECT
GetDataIngestionJob GENAI_AGENT_DATA_INGESTION_JOB_READ
UpdateDataIngestionJob GENAI_AGENT_DATA_INGESTION_JOB_UPDATE
ChangeDataIngestionJobCompartment GENAI_AGENT_DATA_INGESTION_JOB_MOVE
CreateDataIngestionJob GENAI_AGENT_DATA_INGESTION_JOB_CREATE
DeleteDataIngestionJob GENAI_AGENT_DATA_INGESTION_JOB_DELETE
ListAgentEndpoints GENAI_AGENT_ENDPOINT_INSPECT
GetAgentEndpoint GENAI_AGENT_ENDPOINT_READ
UpdateAgentEndpoint GENAI_AGENT_ENDPOINT_UPDATE
ChangeAgentEndpointCompartment GENAI_AGENT_ENDPOINT_MOVE
CreateAgentEndpoint AGENAI_AGENT_ENDPOINT_CREATE
DeleteAgentEndpoint GENAI_AGENT_ENDPOINT_DELETE
Chat GENAI_AGENT_ENDPOINT_CHAT
ListSessions GENAI_AGENT_SESSION_INSPECT
GetSession GENAI_AGENT_SESSION_READ
UpdateSession GENAI_AGENT_SESSION_UPDATE
CreateSession GENAI_AGENT_SESSION_CREATE
EndSession GENAI_AGENT_SESSION_END
DeleteSession GENAI_AGENT_SESSION_DELETE
ListWorkRequests GENAI_AGENT_WORK_REQUEST_INSPECT
GetWorkRequest GENAI_AGENT_WORK_REQUEST_READ
GetWorkRequestErrors GENAI_AGENT_WORK_REQUEST_ERRORS_READ
GetWorkRequestLogs GENAI_AGENT_WORK_REQUEST_LOGS_READ