Snowflake Cortex-AI-Funktionsmodell: RBAC-Rollout (Vorschau)

Achtung

Diese Verhaltensänderung ist in Bundle 2026_02 enthalten.

Den aktuellen Status des Bundles finden Sie unter Bundle-Verlauf.

Die folgenden Snowflake Cortex-AI-Funktionen setzen Modellzugriffskontrollen nun vollständig über sowohl über den Parameter CORTEX_MODELS_ALLOWLIST als auch über die modellrollenbasierte Zugriffskontrolle (RBAC) durch:

  • AI_TRANSCRIBE / SNOWFLAKE.CORTEX.TRANSCRIBE

  • AI_EXTRACT / SNOWFLAKE.CORTEX.EXTRACT

  • AI_SENTIMENT / SNOWFLAKE.CORTEX.SENTIMENT / SNOWFLAKE.CORTEX.ENTITY_SENTIMENT

  • AI_TRANSLATE / SNOWFLAKE.CORTEX.TRANSLATE

  • CLASSIFY_TEXT

  • SUMMARIZE

  • EXTRACT_ANSWER

  • AI_PARSE_DOCUMENT / SNOWFLAKE.CORTEX.PARSE_DOCUMENT

  • AI_REDACT

Vor der Änderung:

Die Zugriffskontrollen für Modelle, CORTEX_MODELS_ALLOWLIST und die Modell-RBAC wurden für AI_COMPLETE/SNOWFLAKE.CORTEX.COMPLETE, AI_CLASSIFY, AI_FILTER, AI_AGG und AI_SUMMARIZE_AGG vollständig durchgesetzt.

Für die vorhergehenden Snowflake Cortex-AI-Funktionen wurden Modellzugriffskontrollen nicht erzwungen. Abfragen mit diesen Funktionen konnten erfolgreich sein, selbst wenn das zugrunde liegende Modell durch CORTEX_MODELS_ALLOWLIST oder die Modell-RBAC eingeschränkt wurde.

Nach der Änderung:

Wenn Sie eine der aufgeführten Snowflake Cortex-AI-Funktionen aufrufen, führt Snowflake Folgendes aus:

  1. Überprüfen Sie zuerst die Modell-RBAC: Wenn die aufrufende Rolle das entsprechende Modellobjekt (z. B. über SNOWFLAKE."CORTEX-MODEL-ROLE-ARCTIC-TRANSLATE") nutzt, ist der Aufruf zulässig.

  2. Wenn kein Zugriff auf Modellobjekte gefunden wird, prüfen Sie CORTEX_MODELS_ALLOWLIST: Wenn das zugrunde liegende Modell oder der Alias in CORTEX_MODELS_ALLOWLIST aufgeführt ist oder wenn CORTEX_MODELS_ALLOWLIST = 'All' gilt, dann ist der Aufruf zulässig.

  3. Andernfalls schlägt der Aufruf mit einem Fehler bezüglich der Modellautorisierung fehl.

Dies gleicht das Verhalten aller aufgeführten Snowflake Cortex-AI-Funktionen an und stellt sicher, dass Ihre bestehenden Modelleinschränkungen konsistent beachtet werden.

Bemerkung

Falls Sie von dieser Änderung betroffen sind:

Sie sind betroffen, wenn Sie den Parameter CORTEX_MODELS_ALLOWLIST auf einen anderen Wert als den All-Standardwert eingestellt haben und Sie eine der vorhergehenden Snowflake Cortex-AI-Funktionen verwenden.

Wenn Sie den Wert für den Parameter für die Zulassungsliste nicht geändert haben und Sie die Modell-RBAC nicht verwenden, werden Sie keine Verhaltensänderungen feststellen.

Wenn Sie CORTEX_MODELS_ALLOWLIST angepasst haben, können betroffene Abfragen mit einem Modellautorisierungsfehler fehlschlagen, es sei denn:

  • Das zugrunde liegende Modell oder sein funktionsspezifischer Alias ist anhand CORTEX_MODELS_ALLOWLIST zulässig oder

  • Die Rolle, die die Abfrage ausführt, hat die entsprechende Anwendungsrolle des Modells.

Vorbereitung auf diese Änderung:

  1. Prüfen Sie, welche betroffenen Funktionen Sie verwenden:

    SELECT DISTINCT FUNCTION_NAME
FROM SNOWFLAKE.ACCOUNT_USAGE.CORTEX_AISQL_USAGE_HISTORY
WHERE USAGE_TIME >= DATEADD(day, -90, CURRENT_TIMESTAMP())
  AND FUNCTION_NAME IN (
      'AI_TRANSCRIBE', 'TRANSCRIBE', 'AI_EXTRACT', 'AI_SENTIMENT',
      'SENTIMENT', 'ENTITY_SENTIMENT', 'AI_TRANSLATE', 'TRANSLATE',
      'CLASSIFY_TEXT', 'SUMMARIZE', 'EXTRACT_ANSWER',
      'AI_PARSE_DOCUMENT', 'PARSE_DOCUMENT', 'AI_REDACT'
  )
ORDER BY FUNCTION_NAME;
    Copy

  2. Überprüfen Sie Ihre aktuellen Einstellungen für die Modell-Governance:

    SHOW PARAMETERS LIKE 'CORTEX_MODELS_ALLOWLIST' IN ACCOUNT;
    Copy

  3. Wenn Sie eine Zulassungsliste (nicht All) verwenden, fügen Sie die erforderlichen Modell-Aliasse für die von Ihnen verwendeten Funktionen hinzu. Gängige Modell-Aliasse sind:

    • arctic-translate (für AI_TRANSLATE)

    • arctic-transcribe (für AI_TRANSCRIBE)

    • arctic-extract (für AI_EXTRACT)

    • arctic-parse-document (für AI_PARSE_DOCUMENT)

    • arctic-extract-answer (für EXTRACT_ANSWER)

    • arctic-sentiment (für AI_SENTIMENT)

    • arctic-summarize (für SUMMARIZE)

    • llama3.1-70b (für CLASSIFY_TEXT, AI_REDACT)

    • mistral-7b (für SUMMARIZE)

    Beispiel:

    ALTER ACCOUNT SET CORTEX_MODELS_ALLOWLIST =
  'llama3.1-70b,arctic-translate,arctic-extract,arctic-sentiment,arctic-parse-document,arctic-extract-answer,arctic-summarize';
    Copy

Alternativ können Sie auch die Modell-RBAC durch die Einstellung CORTEX_MODELS_ALLOWLIST = 'None' und Gewährung von Modellanwendungsrollen (z. B. SNOWFLAKE."CORTEX-MODEL-ROLE-ARCTIC-TRANSLATE") für die entsprechenden Rollen verwenden.

Diese Änderung wird vorgenommen an:

  • Für eine konsistente Governance sorgen

  • Zugriff mit den niedrigsten Berechtigungen einheitlich durchsetzen

  • Verwaltete AI-Funktionen an die bestehenden Cortex-Modellzugriffskontrollen anpassen

  • Compliance-Garantien für Unternehmen stärken

  • Für ein transparentes Autorisierungsverhalten bei Modellen sorgen

Ref: 2220