Pular para o conteúdo principal

Guia de governança de IA

info

Beta

Unity AI Gateway e as políticas de serviço estão em Beta. Os administradores da conta gerenciam o acesso a esses recursos na página Pré-visualizações do console da conta. Consulte Gerenciar prévias do Databricks.

A governança de AI mantém a AI que sua organização usa segura, em conformidade e com custos controlados. No Databricks, o Unity AI Gateway é o plano de controle para AI. Ele roteia cada modelo e solicitação MCP, impõe limites de taxa e controles de custo, aplica políticas de serviço (também chamadas de guardrails) e registra o uso em qualquer provedor de modelo e qualquer agente de codificação. O Unity Catalog governa os ativos por trás dele, como modelos, servidores MCP e funções, com os mesmos privilégios e políticas usados para dados. Como resultado, não é necessário manter um modelo de acesso separado para AI.

Esta governança se aplica à AI externa, não apenas aos recursos hospedados pelo Databricks. Você governa o seguinte da mesma forma:

  • Agentes de codificação externos , como Claude Code, Cursor, Codex e Gemini CLI, roteando-os através de um serviço de modelo do Databricks.
  • Servidores MCP externos , registrados como Serviços MCP do Unity Catalog.
  • Modelos externos de qualquer provedor, como OpenAI, Anthropic e Google, acessados por meio do Unity AI Gateway.

Este guia é para administradores de workspace e account que estão configurando a governança de AI pela primeira vez. Depois de concluir, suas equipes podem usar a IA de forma produtiva enquanto a Databricks aplica suas regras automaticamente.

Para começar na prática, acesse o tutorial: governar o acesso de um agente de codificação ao GitHub ou moderar o conteúdo de um serviço de modelo.

Como a governança de AI funciona no Databricks

O Unity Catalog é a base para a governança de AI no Databricks. Governa seus ativos de AI como elementos protegíveis, da mesma forma que governa seus dados. O Unity AI Gateway é o plano de controle para o tráfego para esses ativos, e as políticas de serviço governam o conteúdo de cada solicitação e resposta. A governança de IA abrange três dimensões:

  • Governança de ativos: o Unity Catalog gerencia cada modelo, servidor MCP, função e conexão como um objeto protegível, governado com os mesmos privilégios e políticas de concessão ABAC que você usa para tabelas e volumes.
  • Governança de tráfego : O Unity AI Gateway encaminha todas as solicitações de serviço de modelo e serviço MCP de um plano de controle central e aplica limites de taxa, orçamentos e acompanhamento de uso.
  • Governança de comportamento : Políticas de serviço permitem, negam ou exigem aprovação para solicitações e respostas individuais, com base em quem está chamando e no que a solicitação e a resposta contêm.

Quando um agente chama uma ferramenta ou modelo, o Databricks autentica a solicitação, a autoriza contra o Unity Catalog e a roteia pelo Unity AI Gateway antes de chegar a qualquer sistema externo:

Um agente de codificação autentica-se através do Databricks Unified Auth e passa o pedido em nome do utilizador para o Unity AI Gateway, que o autoriza contra o Unity Catalog e o encaminha para ferramentas MCP internas, como DBSQL e Genie, e para servidores MCP externos e fornecedores de LLM.

Pré-requisitos

  • Um workspace habilitado para Unity Catalog. Consulte Começar a usar o Unity Catalog.
  • Acesso de administrador de account para habilitar prévias, ou um administrador de account que pode habilitá-las para você.

Configurar a governança de IA

Configure a governança em seus ativos de AI, tráfego e comportamento de serviço, e então confirme se funciona.

O passo 1: Ativar as pré-visualizações de governança de AI

A Unity AI Gateway e as políticas de serviço estão em Beta. Um administrador da account deve habilitá-los na página Prévias no console da account antes que você possa usá-los. Consulte Gerenciar prévias do Databricks.

A governança de ativos do Unity Catalog está em disponibilidade geral e não requer uma prévia.

O passo 2: Governar o acesso aos seus ativos de AI no Unity Catalog

O Unity Catalog gerencia ativos de AI como objetos protegíveis, de modo que o acesso a eles pode ser concedido e revogado com os mesmos privilégios e políticas de concessão ABAC usados para tabelas e volumes. Foco nos dois principais ativos de AI:

  • Serviços MCP : Governe o acesso a servidores MCP registrados como recursos securáveis do Unity Catalog, com filtragem de ferramentas e políticas de serviço. Consulte os serviços MCP no Unity Catalog.
  • Modelos : Governe o acesso a modelos de ML registrados, incluindo modelos de base hospedados pela Databricks. Consulte Gerenciar ciclo de vida do modelo.

O Unity Catalog também governa as funções que os agentes usam como ferramentas, com os mesmos privilégios. Para uso de ferramentas em agentes, os Serviços MCP fornecem a governança mais completa, incluindo filtragem de ferramentas e políticas de serviço.

Conceda apenas os privilégios de que cada principal precisa. O acesso a um ativo de AI determina o que um agente que atua em nome de um usuário pode acessar.

O passo 3: Roteie e controle o tráfego de AI com o Unity AI Gateway

O Unity AI Gateway é o plano de controle do agente. Ele encaminha o tráfego para os serviços de modelo e MCP que sua organização usa, aplica controles de custo e registra o uso de um só lugar, por meio da mesma camada de governança do Unity Catalog:

  1. Analise como o Unity AI Gateway funciona e como começar. Consulte governança de AI com Unity AI Gateway.
  2. Criar serviços de modelo para seus LLMs, incluindo modelos hospedados pelo Databricks e de provedores externos. Consulte Criar e gerenciar serviços de modelo.
  3. Aponte seu agente de codificação para um serviço de modelo Databricks, para que seu tráfego seja governado e custeado por meio do Unity AI Gateway. Consulte Integrar com agentes de codificação.
  4. Defina limites de taxa e limites de gastos para proteger a capacidade e controlar custos. Veja Configurar limites de taxa para serviços de AI usando o Unity AI Gateway.
  5. Gerencie o acesso a servidores MCP registrados como Serviços MCP do Unity Catalog, com concessões, seleção de ferramentas e políticas de serviço. Consulte Conectar agentes a ferramentas de terceiros com os Serviços MCP.

Etapa 4: Aplicar políticas de serviço a solicitações e respostas

Depois de governar seus ativos e tráfego, adicione controles sobre o conteúdo de solicitações e respostas individuais. Uma política de serviço, também chamada de guardrail, é um tipo de política de controle de acesso baseado em atributos (ABAC) com escopo para serviços de IA. Anexe uma política de serviço a um Serviço de Modelo ou Serviço MCP para permitir , negar ou exigir aprovação para uma interação com base em seu conteúdo. Por exemplo, bloqueie uma solicitação que contenha PII ou negue uma chamada de ferramenta fora da política.

A Databricks tem políticas de serviço integradas (guardrails) para riscos comuns, como PII, injeção de prompt e conteúdo não seguro, ou você pode criar uma personalizada. Consulte Políticas de serviço para ativos de AI securitizáveis e Crie e anexe uma política de serviço.

O passo 5: Monitorar o uso e o custo

Confirme se sua governança está funcionando e acompanhe a atividade ao longo do tempo:

  • Acompanhe o uso de modelos e MCP, incluindo quem chamou o quê e quando, em tabelas de uso governadas.
  • Analise o custo entre modelos, entidades de segurança e tags.
  • Inspecione as cargas úteis completas de solicitação e resposta em tabelas de inferência.

tutorial

Coloque essas capacidades em prática com um tutorial:

Próximos os passos