生成AIエージェントへのアクセス
OCI Identity and Access Management (IAM)ポリシーを使用して、生成AIエージェント・リソースにアクセスできます。
デフォルトでは、Administratorsグループのユーザーのみが生成AIエージェント・リソースを含むすべてのOCIリソースにアクセスできます。別のグループのメンバーである場合は、次の項を確認して、職責を実行するために必要な最小限の権限を管理者に割り当てるように依頼してください。
サービスを使用する前にポリシーを追加
生成AIエージェントを使用する前に、次のポリシーを追加するよう管理者に依頼してください:
すべての生成AIエージェント・リソースへのユーザー・アクセス
エージェント、ナレッジ・ベース、データ・ソース、データ取込みジョブ、エージェント・セッション、エージェント作業リクエスト、エンドポイントなどの生成AIエージェント・リソースへのアクセス権をユーザーに付与します
- テナンシ全体のすべての生成AIエージェント・リソースにアクセスするには、次のポリシーを使用します:
allow group <genai-agent-administrators> to manage genai-agent-family in tenancy - コンパートメント内のすべての生成AIエージェント・リソースにアクセスするには、次のポリシーを使用します:
allow group <genai-agent-administrators> to manage genai-agent-family in compartment <your-compartment-name>
重要
ユーザーがアクセスできる特定のリソースのみを選択するには、About Generative AI Agents Resource-TypeおよびGiving Users Granular Permission for Each Resource-Typeを参照してください。
データ・ソースのオブジェクト・ストレージ・ファイルへのユーザー・アクセス
エージェントのデータファイルがOCIオブジェクト・ストレージ・バケットにある場合は、生成AIエージェント・サービス内でそれらのファイルをリストおよび選択する権限が必要です。
- オブジェクト・ストレージ・ファイルをナレッジ・ベースに追加する権限をユーザーに付与するには:
allow group <your-group-name> to manage object-family in compartment <compartment-with-bucket>
ノート
オブジェクト・ストレージのファイルおよびエージェントが異なるコンパートメントにある場合は、エージェントを作成するユーザーに、バケットを含むコンパートメント内の
オブジェクト・ストレージのファイルおよびエージェントが異なるコンパートメントにある場合は、エージェントを作成するユーザーに、バケットを含むコンパートメント内の
manage object-familyに対する権限があることを確認してください。管理者にオブジェクト・ストレージの保護の例を確認し、トレーニング・データを含むバケットが誤って削除されないようにポリシーなどのポリシーを適用するポリシーを追加するように依頼してください。
長時間実行ジョブのオブジェクト・ストレージ・ファイルへのデータ収集ジョブ・アクセス
OCI Object Storageから大量のコンテンツを取り込むには、次のステップに従って、24時間以上実行される可能性のあるデータ取込みジョブのリソース・プリンシパルを作成します。
- 「動的グループの作成」のステップに従って、一致ルールに次の詳細を指定します。
- 「一致ルール」セクションで、「次に定義したルールに一致」を選択します。
- 次の照合ルールを入力します。
ALL {resource.type='genaiagentdataingestionjob'}genaiagentdataingestionjobリソース・タイプは、データ収集ジョブのリソース・プリンシパルです。前述の一致ルールは、この動的グループが生成AIエージェントのデータ取込みジョブ・リソースを表すことを意味します。動的グループ・メンバーシップを、前の一致ルールではなく、特定のコンパートメントで作成されたデータ取込みジョブに制限するには、次のものを使用します:
ALL {resource.type = 'genaiagentdataingestionjob', resource.compartment.id = '<compartment-ocid-for-ingestion-jobs>'} - この動的グループが、指定されたコンパートメント内のオブジェクト・ストレージ・オブジェクトにアクセスできるようにします。
allow dynamic-group <dynamic-group-name> to read objects in compartment <compartment-name-for-objects>より多くの条件でポリシーをさらに制限できます。たとえば:allow dynamic-group <dynamic-group-name> to read objects in tenancy where all {target.compartment.id='<compartment_ocid>', target.bucket.name=<bucket-name>, target.bucket.tag.MyTagNamespace.TagKey='<MyTagValue>'}ポリシーの記述の例の詳細は、オブジェクト・ストレージの保護を参照してください。
ノート
バケット名、コンパートメントおよびタグを含む条件を使用して、オブジェクト・ストレージへのアクセスを制限できます。target.object.nameなどのポリシーでオブジェクト名または接頭辞を指定してアクセスを制限することはサポートされておらず、データ取込みジョブが失敗する可能性があります。
Oracle DatabaseおよびOpenSearchのVaultシークレットへのサービス・アクセス
データがOracle Databaseベクトル・ストアにある場合、またはOpenSearchを使用したOCI検索の場合は、次のタスクを実行します。
- Oracle Databaseデータの場合は、RAG Tool Oracle Database Guidelines for Generative AI Agentsのタスクを実行します。
- OpenSearchデータを使用したOCI検索の場合、生成AIエージェントのOpenSearchガイドラインを使用したRAGツールOCI検索のタスクを実行します。
- 「動的グループの作成」のステップに従って、一致ルールに次の詳細を指定します。
- 「一致ルール」セクションで、「次に定義したルールに一致」を選択します。
- 次の照合ルールを入力します。
ALL {resource.type='genaiagent'}genaiagentリソース・タイプは、エージェントのリソース・プリンシパルです。前述の一致ルールは、この動的グループが生成AIエージェント・エージェント・リソースを表すことを意味します。 - この動的グループが、Oracle Databaseベクトル・ストアまたはOpenSearchシークレットのあるOCI検索を使用して、コンパートメント内のOCI Vaultシークレットにアクセスできるようにします。
デフォルト・アイデンティティ・ドメインで使用できる次のポリシーを記述します。
allow dynamic-group <dynamic-group-name> to read secret-bundle in compartment <compartment-name>Oracle Identity Cloud Service (IDCS)ドメイン名および動的グループ名を指定して、デフォルトではないアイデンティティ・ドメインで次のポリシーを使用します:
allow dynamic-group '<idcs-domain-name>/<dynamic-group-name>' to read secret-bundle in compartment <compartment-name>
Oracle Databaseツールへのサービス・アクセス
データがOracle Database 23aiにある場合は、OCI Vaultへのサービス・アクセス用に作成した動的グループが、OCI Database Toolsにもアクセスできるようにします。
デフォルト・アイデンティティ・ドメインで使用できる次のポリシーを記述します。
allow dynamic-group <dynamic-group-name>
to read database-tools-family in compartment <compartment-name>
Oracle Identity Cloud Service (IDCS)ドメイン名および動的グループ名を指定して、デフォルトではないアイデンティティ・ドメインで次のポリシーを使用します:
allow dynamic-group '<idcs-domain-name>/<dynamic-group-name>'
to read database-tools-family in compartment <compartment-name>生成AIエージェント・リソース・タイプについて
生成AIエージェントには、Identity and Access Managementポリシーで使用する次の個別のリソース・タイプがあります。次のリソース・タイプの使用方法に基づいて、様々なユーザー・グループに異なる権限を割り当てることができます。
genai-agent: エージェントgenai-agent-knowledge-base: エージェントに関連付けられたナレッジ・ベース。genai-agent-data-source: ナレッジ・ベースに関連付けられたデータ・ソースgenai-agent-data-ingestion-job: データ・ソースからデータを取り込むジョブ。genai-agent-endpoint: エージェントにアクセスするためのエンドポイントgenai-agent-work-request: 生成AIエージェント操作の作業リクエストgenai-agent-session: エージェントのチャット・セッション
前述の個々のリソース・タイプに加えて、集約リソース・タイプ
genai-agent-familyを使用して、7つの生成AIエージェント・リソース・タイプをすべてポリシーに含めることができます。たとえば: allow group <genai-agent-administrators> to manage genai-agent-family in tenancy| 集約リソース・タイプ | 含まれる個別リソース・タイプ |
|---|---|
genai-agent-family |
|
ユーザーへの各リソース・タイプのきめ細かな権限の付与
この項では、生成AIエージェント操作の権限をリストします。アクセスのレベルは、inspectからread、use、manageの順に累積します。たとえば、genai-agent-endpointリソース・タイプをmanageする権限がある場合、エンドポイントをリスト、取得、作成および削除できます。エンドポイントをinspectするための別の権限は必要ありません。権限の各リソース・タイプを展開します。
ゲナイエージェント
例:
| 権限 | API操作 | 操作タイプ | 動詞 |
|---|---|---|---|
GENAI_AGENT_INSPECT |
ListAgents |
GET |
inspect |
GENAI_AGENT_READ |
GetAgent |
GET |
read |
GENAI_AGENT_UPDATE |
UpdateAgent |
PUT |
use |
GENAI_AGENT_MOVE |
ChangeAgentCompartment |
POST |
manage |
GENAI_AGENT_CREATE |
CreateAgent |
POST |
manage |
GENAI_AGENT_DELETE |
DeleteAgent |
DELETE |
manage |
allow group GenAI-agents-users to use genai-agent in compartment GenAI-agents-compartmentGenai-agent- ナレッジベース
次に例を示します:
| 権限 | API操作 | 操作タイプ | 動詞 |
|---|---|---|---|
GENAI_AGENT_KNOWLEDGE_BASE_INSPECT |
ListKnowledgeBases |
GET |
inspect |
GENAI_AGENT_KNOWLEDGE_BASE_READ |
GetKnowledgeBase |
GET |
read |
GENAI_AGENT_KNOWLEDGE_BASE_UPDATE |
UpdateKnowledgeBase |
PUT |
use |
GENAI_AGENT_KNOWLEDGE_BASE_MOVE |
ChangeKnowledgeBaseCompartment |
POST |
manage |
GENAI_AGENT_KNOWLEDGE_BASE_CREATE |
CreateKnowledgeBase |
POST |
manage |
GENAI_AGENT_KNOWLEDGE_BASE_DELETE |
DeleteKnowledgeBase |
DELETE |
manage |
allow group GenAI-agents-users to manage genai-agent-knowledge-base in compartment GenAI-agents-compartmentgenai-agent-data-source
例:
| 権限 | API操作 | 操作タイプ | 動詞 |
|---|---|---|---|
GENAI_AGENT_DATASOURCE_INSPECT |
ListDataSources |
GET |
inspect |
GENAI_AGENT_DATASOURCE_READ |
GetDataSource |
GET |
read |
GENAI_AGENT_DATASOURCE_UPDATE |
UpdateDataSource |
PUT |
use |
AGENT_DATASOURCE_MOVE |
ChangeDataSourceCompartment |
POST |
manage |
GENAI_AGENT_DATASOURCE_CREATE |
CreateDataSource |
POST |
manage |
GENAI_AGENT_DATASOURCE_DELETE |
DeleteDataSource |
DELETE |
manage |
allow group GenAI-agents-users to inspect genai-agent-data-source in compartment GenAI-agents-compartmentgenai-agent-data-ingestion-job
次に例を示します:
| 権限 | API操作 | 操作タイプ | 動詞 |
|---|---|---|---|
GENAI_AGENT_DATA_INGESTION_JOB_INSPECT |
ListDataIngestionJobs |
GET |
inspect |
GENAI_AGENT_DATA_INGESTION_JOB_READ |
GetDataIngestionJob |
GET |
read |
GENAI_AGENT_DATA_INGESTION_JOB_UPDATE |
UpdateDataIngestionJob |
PUT |
use |
GENAI_AGENT_DATA_INGESTION_JOB_MOVE |
ChangeDataIngestionJobCompartment |
POST |
use |
GENAI_AGENT_DATA_INGESTION_JOB_CREATE |
CreateDataIngestionJob |
POST |
manage |
GENAI_AGENT_DATA_INGESTION_JOB_DELETE |
DeleteDataIngestionJob |
DELETE |
manage |
allow group GenAI-agents-users to inspect genai-agent-data-ingestion-job in compartment GenAI-agents-compartmentgenai-agent-endpoint
次に例を示します:
| 権限 | API操作 | 操作タイプ | 動詞 |
|---|---|---|---|
GENAI_AGENT_ENDPOINT_INSPECT |
ListAgentEndpoints |
GET |
inspect |
GENAI_AGENT_ENDPOINT_READ |
GetAgentEndpoint |
GET |
read |
GENAI_AGENT_ENDPOINT_UPDATE |
UpdateAgentEndpoint |
PUT |
use |
GENAI_AGENT_ENDPOINT_MOVE |
ChangeAgentEndpointCompartment |
POST |
use |
GENAI_AGENT_ENDPOINT_CREATE |
CreateAgentEndpoint |
POST |
manage |
GENAI_AGENT_ENDPOINT_CHAT |
Chat |
POST |
use |
GENAI_AGENT_ENDPOINT_DELETE |
DeleteAgentEndpoint |
DELETE |
manage |
allow group GenAI-agents-users to manage genai-agent-endpoint in compartment GenAI-agents-compartmentGenai-agent-work-request
次に例を示します:
| 権限 | API操作 | 操作タイプ | 動詞 |
|---|---|---|---|
GENAI_AGENT_WORK_REQUEST_INSPECT |
ListWorkRequests |
GET |
inspect |
GENAI_AGENT_WORK_REQUEST_READ |
GetWorkRequest |
GET |
read |
GENAI_AGENT_WORK_REQUEST_ERRORS_READ |
GetWorkRequestErrors |
GET |
read |
GENAI_AGENT_WORK_REQUEST_LOGS_READ |
GetWorkRequestLogs |
GET |
read |
allow group GenAI-agents-users to read genai-agent-work-request in compartment GenAI-agents-compartmentゲナイエージェントセッション
次に例を示します:
| 権限 | API操作 | 操作タイプ | 動詞 |
|---|---|---|---|
GENAI_AGENT_SESSION_INSPECT |
ListSessions |
GET |
inspect |
GENAI_AGENT_SESSION_READ |
GetSession |
GET |
read |
GENAI_AGENT_SESSION_UPDATE |
UpdateSession |
PUT |
use |
GENAI_AGENT_SESSION_CREATE |
CreateSession |
POST |
manage |
GENAI_AGENT_SESSION_END |
EndSession |
POST |
manage |
GENAI_AGENT_SESSION_DELETE |
DeleteSession |
DELETE |
manage |
allow group GenAI-agents-users to manage genai-agent-session in compartment GenAI-agents-compartment権限とAPI操作の照合
次の表に、生成AIエージェントAPI操作に必要な権限を示します。
この権限表の拡張
| API操作 | 操作の使用に必要な権限 |
|---|---|
ListAgents |
GENAI_AGENT_INSPECT |
GetAgent |
GENAI_AGENT_READ |
UpdateAgent |
GENAI_AGENT_UPDATE |
ChangeAgentCompartment |
GENAI_AGENT_MOVE |
CreateAgent |
GENAI_AGENT_CREATE |
DeleteAgent |
GENAI_AGENT_DELETE |
ListKnowledgeBases |
GENAI_AGENT_KNOWLEDGE_BASE_INSPECT |
GetKnowledgeBase |
GENAI_AGENT_KNOWLEDGE_BASE_READ |
UpdateKnowledgeBase |
GENAI_AGENT_KNOWLEDGE_BASE_UPDATE |
ChangeKnowledgeBaseCompartment |
GENAI_AGENT_KNOWLEDGE_BASE_MOVE |
CreateKnowledgeBase |
GENAI_AGENT_KNOWLEDGE_BASE_CREATE |
DeleteKnowledgeBase |
GENAI_AGENT_KNOWLEDGE_BASE_DELETE |
ListDataSources |
GENAI_AGENT_DATASOURCE_INSPECT |
GetDataSource |
GENAI_AGENT_DATASOURCE_READ |
UpdateDataSource |
GENAI_AGENT_DATASOURCE_UPDATE |
ChangeDataSourceCompartment |
AGENT_DATASOURCE_MOVE |
CreateDataSource |
GENAI_AGENT_DATASOURCE_CREATE |
DeleteDataSource |
GENAI_AGENT_DATASOURCE_DELETE |
ListDataIngestionJobs |
GENAI_AGENT_DATA_INGESTION_JOB_INSPECT |
GetDataIngestionJob |
GENAI_AGENT_DATA_INGESTION_JOB_READ |
UpdateDataIngestionJob |
GENAI_AGENT_DATA_INGESTION_JOB_UPDATE |
ChangeDataIngestionJobCompartment |
GENAI_AGENT_DATA_INGESTION_JOB_MOVE |
CreateDataIngestionJob |
GENAI_AGENT_DATA_INGESTION_JOB_CREATE |
DeleteDataIngestionJob |
GENAI_AGENT_DATA_INGESTION_JOB_DELETE |
ListAgentEndpoints |
GENAI_AGENT_ENDPOINT_INSPECT |
GetAgentEndpoint |
GENAI_AGENT_ENDPOINT_READ |
UpdateAgentEndpoint |
GENAI_AGENT_ENDPOINT_UPDATE |
ChangeAgentEndpointCompartment |
GENAI_AGENT_ENDPOINT_MOVE |
CreateAgentEndpoint |
AGENAI_AGENT_ENDPOINT_CREATE |
DeleteAgentEndpoint |
GENAI_AGENT_ENDPOINT_DELETE |
Chat |
GENAI_AGENT_ENDPOINT_CHAT |
ListSessions |
GENAI_AGENT_SESSION_INSPECT |
GetSession |
GENAI_AGENT_SESSION_READ |
UpdateSession |
GENAI_AGENT_SESSION_UPDATE |
CreateSession |
GENAI_AGENT_SESSION_CREATE |
EndSession |
GENAI_AGENT_SESSION_END |
DeleteSession |
GENAI_AGENT_SESSION_DELETE |
ListWorkRequests |
GENAI_AGENT_WORK_REQUEST_INSPECT |
GetWorkRequest |
GENAI_AGENT_WORK_REQUEST_READ |
GetWorkRequestErrors |
GENAI_AGENT_WORK_REQUEST_ERRORS_READ |
GetWorkRequestLogs |
GENAI_AGENT_WORK_REQUEST_LOGS_READ |