モデル プロバイダー サービスへのアクセスを検出および管理する
ベータ版
この機能はベータ版です。アカウント管理者は、アカウントコンソールの [プレビュー] ページからこの機能へのアクセスを管理できます。Databricksのプレビューを管理するを参照してください。
このページでは、利用可能なモデルプロバイダーサービスを見つける方法と、Unity Catalog権限を使用してそれらのアクセスを管理する方法について説明します。
要件
- お客様のアカウントでUnity AI Gatewayのプレビュー版が有効になりました。Databricksのプレビューを管理するを参照してください。
- モデルプロバイダーサービスを管理するには、そのサービスに対する
MANAGE権限、またはそのカタログまたはスキーマに対するMANAGE権限が必要です。
モデルプロバイダーサービスを探索する
モデルプロバイダーサービスはUnity Catalogのセキュリティ保護可能なオブジェクトであるため、Catalog Explorerのカタログおよびスキーマの下に、他のデータおよびAIアセットと並んで表示されます。Catalog Explorerを使用して、アクセス権を持つモデルプロバイダーサービスを見つけ、そのプロバイダータイプと設定を検査できます。サービスは資格情報を表示しません。
Unity Catalog の権限でアクセスを管理します
他の Unity Catalog セキュリティ保護可能オブジェクトに使用するのと同じ GRANT および REVOKE ステートメントで、モデル プロバイダー サービスへのアクセスを許可または取り消します。モデル プロバイダー サービスをクエリするには、ユーザーはそれに対して EXECUTE が必要で、そのカタログとスキーマに対して USE CATALOG および USE SCHEMA が必要です。
-- Grant access to a team
GRANT USE CATALOG ON CATALOG main TO ai_team;
GRANT USE SCHEMA ON SCHEMA main.default TO ai_team;
GRANT EXECUTE ON MODEL PROVIDER SERVICE main.default.openai_prod TO ai_team;
-- Revoke access
REVOKE EXECUTE ON MODEL PROVIDER SERVICE main.default.openai_prod FROM ai_team;
呼び出し元は、資格情報を見ることなくモデルプロバイダーサービスを照会します。Unity AI Gatewayは、リクエスト時に保存された資格情報をアタッチします。したがって、EXECUTEを付与することで、チームはAPIキーを配布せずにプロバイダーを使用できます。
モデルプロバイダーサービスを更新して、保存されている資格情報をローテーションまたは置き換えます。モデルプロバイダーサービスを編集するには、その上でMANAGEが必要です。これは直接保持するか、親カタログまたはスキーマから継承されます。サービスがどのプロバイダー資格情報を使用するかを設定することを意図するプリンシパルにのみ、MANAGEを付与してください。サービスは、読み取り時に保存されている資格情報をプレーンテキストで返しません。サービスを更新すると、資格情報が置き換えられ、開示されません。
さまざまなプロバイダーを異なるチームに提供する
異なるチームに異なるプロバイダーへのアクセスを許可するには、それぞれに個別のモデルプロバイダーサービスを作成し、EXECUTE をそれに応じて付与します。たとえば、汎用には低コストのプロバイダー向けサービスを1つ作成し、小規模グループにはプレミアムプロバイダー向けサービスをもう1つ作成します。モデルプロバイダーサービスを作成および管理するを参照してください。
-- All users can query the standard provider
GRANT EXECUTE ON MODEL PROVIDER SERVICE ai_platform.default.standard TO `account users`;
-- Only power users can query the premium provider
GRANT EXECUTE ON MODEL PROVIDER SERVICE ai_platform.default.premium TO ai_power_users;
容量とコストを管理するために、各モデルプロバイダーサービスで異なるレート制限を構成します。Unity AI Gateway を使用して AI サービスのレート制限を構成するを参照してください。
インタラクションのコンテンツを管理する
Unity Catalogの権限は、プリンシパルがモデルプロバイダーサービスをクエリできるかどうかを決定します。各インタラクションがどのように進行するかを管理するには — たとえば、安全でないコンテンツや PII を含む応答をブロックするために — モデルプロバイダーサービスにサービスポリシーをアタッチします。サービスポリシーは、ガードレールを実装する方法です。組み込みのガードレールは、PII、プロンプトインジェクション、安全でないコンテンツなどの一般的なリスクをカバーし、カスタムポリシーは組織に固有のルールを適用します。
サービスポリシーについて学習し、それをアタッチする方法については、以下を参照してください:
- 概念、組み込みのガードレール、および評価モデルに関するAI セキュラブルのサービス ポリシー。
- ポリシー関数を作成してサービスにアタッチする方法については、サービスポリシーを作成してアタッチするを参照してください。