Descubra e governe o acesso a serviços de provedores de modelo
Beta
este recurso está em Beta. Os administradores de conta podem gerenciar o acesso a esse recurso na página **Prévias** do console da conta. Consulte Gerenciar prévias do Databricks.
Esta página descreve como descobrir serviços de provedor de modelos que estão disponíveis para você e como governar o acesso a eles com privilégios do Unity Catalog.
Requisitos
- Prévia do Unity AI Gateway ativada para sua account. Consulte Gerenciar prévias do Databricks.
- Para gerenciar um serviço de provedor de modelo, você deve ter o privilégio
MANAGEnele, ouMANAGEem seu catálogo ou esquema.
Descubra serviços de provedor de modelo
Um serviço de provedor de modelos é um recurso protegível do Unity Catalog, portanto, aparece no Explorador de Catálogos em seu catálogo e esquema junto com seus outros ativos de dados e AI. Use o Explorador de Catálogos para encontrar os serviços de provedor de modelos aos quais você tem acesso e inspecionar o tipo e a configuração do provedor. O serviço não exibe credenciais.
Governe o acesso com privilégios do Unity Catalog
Conceda ou revogue o acesso a um serviço de provedor de modelo com as mesmas instruções GRANT e REVOKE que são usadas para outros protegíveis do Unity Catalog. Para consultar um serviço de provedor de modelo, um usuário precisa de EXECUTE nele e USE CATALOG e USE SCHEMA em seu catálogo e esquema.
-- Grant access to a team
GRANT USE CATALOG ON CATALOG main TO ai_team;
GRANT USE SCHEMA ON SCHEMA main.default TO ai_team;
GRANT EXECUTE ON MODEL PROVIDER SERVICE main.default.openai_prod TO ai_team;
-- Revoke access
REVOKE EXECUTE ON MODEL PROVIDER SERVICE main.default.openai_prod FROM ai_team;
Os chamadores consultam um serviço de provedor de modelo sem nunca ver suas credenciais: o Unity AI Gateway anexa a credencial armazenada no momento da solicitação. Conceder EXECUTE permite, portanto, que uma equipe use um provedor sem distribuir sua chave de API.
Gire ou substitua a credencial armazenada atualizando o serviço de provedor de modelos. A edição de um serviço de provedor de modelos exige MANAGE nele, mantido diretamente ou herdado do catálogo ou esquema pai. Conceda MANAGE apenas aos principais que você pretende permitir que configurem qual credencial de provedor o serviço usa. O serviço não retorna a credencial armazenada em texto simples na leitura. A atualização do serviço substitui a credencial e não a revela.
Ofereça provedores diferentes para equipes diferentes
Para dar a diferentes equipes acesso a diferentes provedores, crie um serviço de provedor de modelos separado para cada e conceda EXECUTE de acordo. Por exemplo, crie um serviço para um provedor de menor custo para uso geral e outro para um provedor premium para um grupo menor. Consulte Criar e gerenciar serviços de provedor de modelos.
-- All users can query the standard provider
GRANT EXECUTE ON MODEL PROVIDER SERVICE ai_platform.default.standard TO `account users`;
-- Only power users can query the premium provider
GRANT EXECUTE ON MODEL PROVIDER SERVICE ai_platform.default.premium TO ai_power_users;
Configure diferentes limites de taxa em cada serviço de provedor de modelo para gerenciar a capacidade e o custo. Veja Configurar limites de taxa para serviços de AI usando o Unity AI Gateway.
Governe o conteúdo das interações
Os privilégios do Unity Catalog determinam se uma entidade pode consultar um serviço de provedor de modelo. Para governar como cada interação prossegue — por exemplo, para bloquear uma resposta que contém conteúdo inseguro ou PII — anexe uma política de serviço ao serviço de provedor de modelo. As políticas de serviço são a forma como você implementa as barreiras de segurança: as barreiras de segurança integradas cobrem riscos comuns, como PII, injeção de prompt e conteúdo inseguro, e as políticas personalizadas aplicam regras específicas da sua organização.
Para saber mais sobre políticas de serviço e anexar uma, consulte:
- Políticas de serviço para recursos protegíveis de IA para conceitos, guardrails integrados e modelo de avaliação.
- Crie e anexe uma política de serviço para saber como escrever uma função de política e anexá-la a um serviço.