モデルサービスへのアクセスを発見および管理します
ベータ版
この機能はベータ版です。アカウント管理者は、アカウント コンソールの [プレビュー] ページからこの機能へのアクセスを制御できます。 Databricksのプレビューを管理するを参照してください。
このページでは、利用可能なモデルサービスを検出し、Unity Catalog 権限を使用してそれらへのアクセスを管理する方法について説明します。
要件
- お客様のアカウントでUnity AI Gatewayのプレビュー版が有効になりました。Databricksのプレビューを管理するを参照してください。
- モデルサービスを管理するには、そのサービスに対する
MANAGE権限、またはそのカタログかスキーマに対するMANAGEが必要です。system.aiでシステム提供のモデルサービスを管理するには、メタストア管理者であるか、system.aiに対するMANAGEが必要です。
モデルサービスを検出する
Catalog Explorer、Unity AI Gateway UI、または Unity Catalog REST API で利用可能なモデルサービスを検索するには、「基盤モデルを検出する」を参照してください。
Unity Catalog の権限でアクセスを管理します
他のUnity Catalogセキュリティ保護可能なオブジェクトに使用するのと同じGRANT、REVOKE、およびDENYステートメントで、モデルサービスへのアクセスを許可または取り消します。モデルサービスをクエリするには、ユーザーはそれに対してEXECUTE、そしてそのカタログとスキーマに対してUSE CATALOGとUSE SCHEMAが必要です。
-- Grant access to a team
GRANT USE CATALOG ON CATALOG main TO ai_team;
GRANT USE SCHEMA ON SCHEMA main.default TO ai_team;
GRANT EXECUTE ON MODEL SERVICE main.default.team_chat TO ai_team;
-- Revoke access
REVOKE EXECUTE ON MODEL SERVICE main.default.team_chat FROM ai_team;
Databricksは、定義者の権限を使用してモデルサービスを呼び出します。ユーザーがモデルサービスをクエリすると、Databricksは、*所有者*が参照されるモデルに対してEXECUTEを持っていることを確認します。呼び出し元は、基盤となるモデルに直接アクセスする必要はありません。
システム提供のモデルサービスを制限する
デフォルトでは、すべてのアカウントユーザーがsystem.ai内のシステム提供モデルサービスをクエリできます。高コストモデルなど、特定のモデルサービスへのすべてのユーザーからのクエリを防ぐには、それに対してEXECUTEを拒否します:
DENY EXECUTE ON MODEL SERVICE system.ai.databricks-claude-opus-4-6 TO `account users`;
すべてのシステム提供モデルサービスをチームに制限する
system.ai の現在および将来のすべてのモデルサービスを AI プラットフォーム チームに制限するには、すべてのアカウント ユーザーからアクセスを取り消し、チームに付与します。
-- Remove access for all users
REVOKE USE SCHEMA ON SCHEMA system.ai FROM `account users`;
REVOKE EXECUTE ON SCHEMA system.ai FROM `account users`;
-- Grant access to the AI platform team only
GRANT USE SCHEMA ON SCHEMA system.ai TO ai_platform_team;
GRANT EXECUTE ON SCHEMA system.ai TO ai_platform_team;
異なるチームに異なるモデルサービスを提供する
より広いユーザーベースと少数のパワーユーザーグループに異なるモデルとクォータを付与するために、グループごとに個別のモデルサービスを作成し、それに応じてEXECUTEを付与します。Unity AI Gateway UIまたはREST APIを使用してモデルサービスを作成します。モデルサービスを作成を参照してください。
モデルサービスを作成した後、各グループに EXECUTE を付与します。
-- All users can query the standard model service
GRANT EXECUTE ON MODEL SERVICE ai_platform.default.standard TO `account users`;
-- Only power users can query the power-user model service
GRANT EXECUTE ON MODEL SERVICE ai_platform.default.power_user TO ai_power_users;
容量とコストを管理するために、各モデルサービスで異なるレート制限を構成できます。Unity AI Gateway を使用して AI サービスのレート制限を構成するを参照してください。
モデルサービスインタラクションのコンテンツを管理する
Unity Catalogの権限は、プリンシパルがモデルサービスをクエリ「できるかどうか」を制御します。各インタラクションが「どのように」進行するかを統制する(たとえば、応答から機密データを伏字にする、または安全でないコンテンツをブロックする)には、モデルサービスにサービスポリシーをアタッチします。「AIセキュリティ保護可能なオブジェクトのサービスポリシー」を参照してください。