Descobrir e governar o acesso a serviços de modelo
Beta
Este recurso está em Beta. Os administradores da account podem controlar o acesso a este recurso na página Pré-visualizações do console da account. Consulte Gerenciar pré-visualizações do Databricks.
Esta página descreve como descobrir serviços de modelo que estão disponíveis para você e como governar o acesso a eles com privilégios do Unity Catalog.
Requisitos
- Prévia do Unity AI Gateway ativada para sua account. Consulte Gerenciar prévias do Databricks.
- Para gerenciar um serviço de modelo, você deve ter o privilégio
MANAGEnele, ouMANAGEem seu catálogo ou esquema. Para gerenciar serviços de modelo fornecidos pelo sistema emsystem.ai, você deve ser um administrador de metastore ou terMANAGEemsystem.ai.
Descobrir serviços de modelo
Para encontrar os serviços de modelo disponíveis para você no Catalog Explorer, na UI do Unity AI Gateway ou na API REST do Unity Catalog, consulte Descobrir modelos de fundação.
Governe o acesso com privilégios do Unity Catalog
Conceda ou revogue o acesso a um serviço de modelo com as mesmas instruções GRANT, REVOKE e DENY que você usa para outros protegíveis do Unity Catalog. Para consultar um serviço de modelo, um usuário precisa da permissão EXECUTE nele e USE CATALOG e USE SCHEMA em seu catálogo e esquema.
-- Grant access to a team
GRANT USE CATALOG ON CATALOG main TO ai_team;
GRANT USE SCHEMA ON SCHEMA main.default TO ai_team;
GRANT EXECUTE ON MODEL SERVICE main.default.team_chat TO ai_team;
-- Revoke access
REVOKE EXECUTE ON MODEL SERVICE main.default.team_chat FROM ai_team;
O Databricks usa os direitos do definidor para invocar um serviço de modelo: quando um usuário consulta um serviço de modelo, o Databricks verifica se o *proprietário* tem EXECUTE nos modelos referenciados. O chamador não precisa de acesso direto aos modelos subjacentes.
Restringir um serviço de modelo fornecido pelo sistema
Por default, todos os usuários da account podem consultar os serviços de modelo fornecidos pelo sistema em system.ai. Para impedir que todos os usuários consultem um serviço de modelo específico, como um modelo de custo mais alto, negue EXECUTE nele:
DENY EXECUTE ON MODEL SERVICE system.ai.databricks-claude-opus-4-6 TO `account users`;
Restringir todos os serviços de modelo fornecidos pelo sistema a uma equipe
Para restringir todos os serviços de modelo atuais e futuros em system.ai a uma equipe de plataforma de AI, revogue o acesso de todos os usuários da account e conceda-o à equipe:
-- Remove access for all users
REVOKE USE SCHEMA ON SCHEMA system.ai FROM `account users`;
REVOKE EXECUTE ON SCHEMA system.ai FROM `account users`;
-- Grant access to the AI platform team only
GRANT USE SCHEMA ON SCHEMA system.ai TO ai_platform_team;
GRANT EXECUTE ON SCHEMA system.ai TO ai_platform_team;
Oferecer diferentes serviços de modelo a equipes diferentes
Para dar a uma base de usuários mais ampla e a um grupo menor de usuários avançados diferentes modelos e cotas, crie um serviço de modelo separado para cada grupo e, em seguida, conceda EXECUTE de acordo. Crie os serviços de modelo na UI do Unity AI Gateway ou com a API REST. Consulte criar serviços de modelo.
Depois de criar os serviços de modelo, conceda EXECUTE a cada grupo:
-- All users can query the standard model service
GRANT EXECUTE ON MODEL SERVICE ai_platform.default.standard TO `account users`;
-- Only power users can query the power-user model service
GRANT EXECUTE ON MODEL SERVICE ai_platform.default.power_user TO ai_power_users;
Você pode configurar diferentes limites de taxa em cada serviço de modelo para gerenciar capacidade e custo. Veja Configurar limites de taxa para serviços de AI usando o Unity AI Gateway.
Governe o conteúdo das interações do serviço de modelo
Os privilégios do Unity Catalog controlam se um principal pode consultar um serviço de modelo. Para governar como cada interação prossegue — por exemplo, para redigir dados sensíveis de uma resposta ou bloquear conteúdo inseguro — anexe uma política de serviço ao serviço de modelo. Consulte Políticas de serviço para AI protegíveis.