基盤モデル Unity Catalog の権限
プレビュー
基盤モデル Unity Catalog の権限は、プレビュー中です。この機能を有効にするには、Databricksアカウントチームにお問い合わせください。
このページでは、アカウント管理者が基盤モデルのUnity Catalog権限を使用して、組織がアクセスできるDatabricksがホストする基盤モデルを制限する時期と方法について説明します。管理者は、特定のモデルをアカウント全体でブロックしたり、特定のグループまたはユーザーにモデルへのアクセス権を付与したりできます。この適用は、トークン単位の従量課金、プロビジョニングされたスループット、およびバッチ推論(AI Functions)ワークロード全体に一貫して適用されます。
基盤モデルのUnity Catalogの権限を使用するタイミング
特定のモデルの公開を制限することが法的に義務付けられている場合にのみ、この機能を使用してください。たとえば:
- 輸出管理対象のモデルファミリー
- ベンダー制限付きまたは地域制限付きモデル
- 特定の基盤モデルを禁止する企業ポリシー
日々のガバナンスには、 を使用します。
system.billingコスト追跡およびアトリビューションのため- レート制限およびリクエストレベルの使用状況追跡のためのAI Gateway
- プライベートリンクまたはプライベートネットワーキングによる安全な接続
- アウトバウンドトラフィックを制限するエグレスおよびネットワーク制御
基盤モデル Unity Catalogの権限のしくみ
基盤モデルの Unity Catalog 権限では、system.ai スキーマおよび個々のモデル オブジェクトに対する Unity Catalog の権限を使用します。デフォルトでは、すべてのユーザーはsystem.aiスキーマ上のEXECUTE権限を持ち、これによりDatabricksがホストするすべての基盤モデルにアクセスできるようになります。
ユーザーに公開されるモデルを制限するには、管理者はスキーマからデフォルトのEXECUTE権限を削除し、承認済みの個々のモデルに対して選択的に付与します。システムは、権限を一貫して以下に適用します。
- トークン単位の従量課金 エンドポイント — 自動適用
- バッチ推論 (AI Functions)— 自動的に適用
- プロビジョン済みスループットエンドポイントは、許可されていないエンドポイントの手動削除が必要です。
以下のセクションでは、モデルの制限を適用するための詳細な手順を説明します。
要件
- Unity Catalogはアカウントで有効になっている必要があります。
- アカウント管理者またはUnity Catalog管理者権限
- この機能はアカウントで有効になっている必要があります。有効にするには、Databricksアカウントチームにお問い合わせください。
ステップ1: スキーマから EXECUTE 権限を削除する
スキーマ system.ai から EXECUTE を削除すると、すべてのモデルへのデフォルトアクセスがクリアされます。権限が明示的に再付与されない限り、どのユーザーもモデルを実行できません。
- カタログ に移動します。**システム**カタログを、次に**AI**スキーマを選択します。「 アクセス許可 」タブをクリックします。
EXECUTEをすべてのユーザーから(またはすべてのグループから)取り消します。
スキーマから EXECUTE を削除すると、すべてのモデルに対するトークン単位の従量課金とバッチ推論(AI Functions)の呼び出しは直ちに停止します。プロビジョン済みスループットエンドポイントは、手動で削除されるまで提供を継続します。
ステップ2: 承認済みモデルにEXECUTEを付与する
組織が承認する各モデルごとに、EXECUTE 権限を選択的に付与します。
- カタログエクスプローラで、 system カタログの下にある AI > models を選択し、次に目的のモデルを選択します。
- 「 アクセス許可 」タブをクリックします。
- を
EXECUTE**すべてのユーザー**、または特定のグループに付与します。
各承認済みモデルごとに繰り返します。これにより、許可モデルの許可リストが作成されます。
ステップ3: 許可されていないプロビジョニング済みスループットエンドポイントの削除
許可されていないモデルを提供するすべてのプロビジョン済みスループット エンドポイントを削除します。アクティブなエンドポイントは、削除されるまでサービスを提供し続けます。
トークン単位の従量課金およびバッチ推論(AI Functions)エンドポイントは、新しい権限を自動的に適用します。プロビジョニング済みスループットエンドポイントは自動的な処理が行われないため、許可されていないエンドポイントは手動で削除する必要があります。
制限事項:
- Agent Bricks Knowledge Assistant :Knowledge Assistant は基盤モデル Unity Catalog のアクセス許可をサポートしていません。Knowledge Assistant を積極的にご利用の場合は、この機能を有効にする前に Databricks アカウント チームにお問い合わせください。