Permissões do Unity Catalog para modelos de base
Visualização
As permissões de modelo de base do Unity Catalog estão em pré-lançamento. Entre em contato com a equipe do Databricks responsável pela sua conta para habilitar este recurso.
Esta página descreve quando e como os administradores de conta usam as permissões do Unity Catalog para modelos de base para restringir quais modelos de base hospedados no Databricks sua organização pode acessar. Os administradores podem bloquear modelos específicos em toda a conta ou conceder acesso ao modelo a grupos ou usuários específicos. A aplicação se estende consistentemente por cargas de trabalho de pagamento por token, Taxa de transferência provisionada e inferência em lote (AI Functions).
Quando usar permissões de modelo de base do Unity Catalog
Use este recurso somente quando legalmente exigido para restringir quais modelos específicos estão abertos, tais como:
- Famílias de modelos controlados para exportação
- Modelos restritos a fornecedor ou região
- Políticas corporativas que proíbem modelos básicos específicos
Para governança diária, use:
system.billingpara acompanhamento e atribuição de custos- AI Gateway para limites de taxa e acompanhamento de uso por solicitação
- Link Privado ou rede privada para conectividade segura
- Controles de rede e de saída para restringir o tráfego de saída
Como funcionam as permissões do modelo de base do Unity Catalog
As permissões do Unity Catalog para modelos de base usam as permissões do Unity Catalog no esquema system.ai e objetos de modelo individuais. Por padrão, todos os usuários têm a permissão EXECUTE no esquema system.ai, que abre todos os modelos de base hospedados no Databricks para os usuários.
Para restringir quais modelos estão disponíveis para os usuários, os administradores removem a permissão EXECUTE padrão do esquema e, em seguida, a concedem seletivamente a modelos individuais aprovados. O sistema impõe permissões de forma consistente em:
- Pagamento por token endpoint — automaticamente aplicados
- Inferência em lotes (AI Functions) — aplicado automaticamente
- Endpoints de taxa de transferência provisionada — exigem exclusão manual de endpoints não permitidos
As seções a seguir fornecem instruções passo a passo sobre como impor restrições de modelo.
Requisitos
- O Unity Catalog deve ser habilitado para sua account.
- Privilégios de administrador de conta ou administrador do Unity Catalog.
- O recurso deve ser habilitado para sua account. Entre em contato com a equipe do Databricks responsável pela sua conta para habilitá-lo.
O passo 1: Remover a permissão EXECUTE do esquema
Remover EXECUTE do esquema system.ai limpa todo o acesso default a modelos. Nenhum usuário pode invocar qualquer modelo até que as permissões sejam explicitamente concedidas novamente.
- Acesse **Catálogo**. Selecione o catálogo do sistema e, em seguida, o esquema de AI . Clique na guia Permissões .
- Revogar
EXECUTEde **Todos os Usuários** (ou de todos os grupos).
Depois de remover EXECUTE do esquema, as chamadas de pagamento por token e inferência em lotes (AI Functions) para todos os modelos param imediatamente. Endpoints de taxa de transferência provisionada continuam a atender até serem excluídos manualmente.
Etapa 2: conceder EXECUTE em modelos aprovados
Para cada modelo que sua organização aprova, conceda seletivamente o privilégio EXECUTE.
- No Explorador de Catálogos, no catálogo de sistema , selecione AI > modelos e, em seguida, o seu modelo de destino.
- Clique na guia Permissões .
- Conceda
EXECUTEa **Todos os Usuários**, ou a grupos específicos.
Repita para cada modelo aprovado. Isso cria uma lista de permissão de modelos permitidos.
O passo 3: remover endpoints de Taxa de transferência provisionado não permitidos
Excluir todos os endpoints de taxa de transferência provisionada que servem a um modelo não permitido. Os endpoints ativos continuam a disponibilizar até serem removidos.
Endpoints de pagamento por token e inferência em lotes (AI Functions) aplicam automaticamente as novas permissões. Os endpoints de Taxa de transferência provisionados não são excluídos automaticamente, portanto, é necessário excluir manualmente os endpoints não permitidos.
Limitações
- Agent Bricks Knowledge Assistant: O Assistente de conhecimento não oferece suporte a permissões do Unity Catalog para modelos de base. Entre em contato com a equipe de contas do Databricks antes de habilitar este recurso se você usa ativamente o Assistente de Conhecimento.