Deaktivieren von Snowflake-AI-Features¶
Die meisten Snowflake-AI-Features stehen zunächst allen Benutzern in Ihrem Snowflake-Konto zur Verfügung. Der Zugriff auf die meisten Features wird durch die CORTEX_USER-Datenbankrolle gesteuert, die zunächst der PUBLIC-Rolle zugewiesen ist. Allen Benutzern wird die PUBLIC-Rolle gewährt, die ihnen standardmäßig Zugriff auf Cortex-Features gibt. (Der Zugriff auf Snowflake Copilot wird durch die COPILOT_USER-Datenbankrolle gesteuert, die auch standardmäßig der PUBLIC-Rolle gewährt wird). Zwei Features, Cortex Analyst und Document AI, sind so genannte Opt-in-Features, die für Benutzer standardmäßig nicht zugänglich sind.
Deaktivieren der Standard-Features¶
Um den Zugriff auf alle Snowflake-AI-Features zu widerrufen, die Benutzern standardmäßig zur Verfügung stehen, widerrufen Sie die CORTEX_USER- und die COPILOT_USER-Datenbankrolle von der PUBLIC-Rolle. Sie können diese Rollen bestimmten Rollen zuweisen, die ggf. Zugriff auf die Features haben sollen, und diese Rollen dann je nach Bedarf bestimmten Benutzern zuweisen.
Bemerkung
Wenn Sie keinen Zugriff auf die Opt-in-Features gewährt haben, werden durch das Widerrufen der CORTEX_USER- und der COPILOT_USER-Rolle von der PUBLIC-Rolle alle Snowflake AI-Features für Ihr Konto deaktiviert.
Verwenden Sie SQL wie folgt, um den Zugriff auf die CORTEX_USER- und die COPILOT_USER-Rolle von der PUBLIC-Rolle zu widerrufen, und weisen Sie sie dann bestimmten Rollen und Benutzern zu.
-- Revoke access to most Snowflake AI features from all users in the account
REVOKE ROLE CORTEX_USER FROM ROLE PUBLIC;
REVOKE ROLE COPILOT_USER FROM ROLE PUBLIC;
-- Optionally, grant access to specific roles
GRANT ROLE CORTEX_USER TO ROLE my_cortex_role;
GRANT ROLE COPILOT_USER TO ROLE my_copilot_role;
-- Then grant those roles to specific users
GRANT ROLE my_cortex_role TO USER alice;
GRANT ROLE my_copilot_role TO USER bob;
Widerrufen des Zugriffs auf Opt-in-Features¶
Zwei Snowflake-AI-Features, Document AI und Cortex Analyst, sind Opt-in-Features. Der Zugriff auf diese Features ist standardmäßig deaktiviert. Wenn Sie also nie Zugriff auf diese Features gewährt haben, können Ihre Benutzer sie nicht verwenden. Wenn Sie jedoch Zugriff auf eines oder beide Features gewährt haben, können Sie den Zugriff wie folgt widerrufen:
** Cortex Analyst: ** Legen Sie den Kontoparameter ENABLE_CORTEX_ANALYST auf FALSE fest.
Document AI: Widerrufen Sie die Datenbankrolle SNOWFLAKE.DOCUMENT_INTELLIGENCE_CREATOR von allen Rollen, denen Sie diese Rolle zugewiesen haben.
Bemerkung
Bereits erstellte Pipelines funktionieren weiterhin, nachdem Sie den Zugriff auf das Feature widerrufen haben. Setzen Sie die mit den Pipelines verbundenen Aufgaben aus oder löschen Sie sie, um deren Ausführung zu verhindern.
Zugriffssteuerung nach Feature¶
Die folgende Tabelle enthält detailliertere Informationen zur Zugriffssteuerung für einzelne Snowflake-AI-Features:
Feature |
Opt in |
Hauptzugriffssteuerungsmethode |
Zusätzliche Zugriffssteuerungsmethoden |
---|---|---|---|
CORTEX_USER-Datenbankrollen |
USAGE für den Search Service, den der Agent abfragt, sowie USAGE für die Datenbank, das Schema und die Tabelle, die vom Search Service verwendet werden |
||
CORTEX_USER-Datenbankrollen |
|||
✔ |
Kontoparameter ENABLE_CORTEX_ANALYST |
||
CORTEX_USER-Datenbankrollen |
CREATE MODEL für das Schema, in dem Sie Fine-Tuning-Modelle erstellen |
||
CORTEX_USER-Datenbankrollen |
Basiert auf der Zugriffssteuerung für den zugrunde liegenden Cortex Search Service |
||
CORTEX_USER-Datenbankrollen |
USAGE für den Search Service, die Datenbank, das Schema und die Tabelle, die vom Search Service verwendet werden |
||
✔ |
SNOWFLAKE.DOCUMENT_INTELLIGENCE_CREATOR Datenbankrolle |
Viele Berechtigungen auf Objektebene für das Erstellen von Modellen und Pipelines |
|
COPILOT_USER-Datenbankrollen |
|||
CORTEX_USER-Datenbankrollen |
Basiert auf der Zugriffssteuerung für den zugrunde liegenden Cortex Agent oder Search Service |
Deaktivieren bestimmter Modelle und AISQL-Funktionen¶
Da die Kosten für die Verwendung verschiedener Large Language Models und AISQL-Funktionen variiert, können Sie den Zugriff auf bestimmte LLMs oder Funktionen beschränken. Der Zugriff auf einzelne Modelle und Funktionen kann durch eine Zulassungsliste auf Kontoebene, durch eine rollenbasierte Zugriffssteuerung oder beides gesteuert werden. Weitere Informationen dazu finden Sie unter Zugriff auf das Modell kontrollieren.
Steuerung des Zugriffs auf ML-Features¶
Snowflake-ML-Features sind keine AI-Features. Daher kann der Zugriff auf diese Features nicht durch die CORTEX_USER-Rolle gesteuert werden.
ML-Funktionen¶
ML Functions setzen klassisches Machine Learning für die Prognoseerstellung, Anomalieerkennung, Klassifizierung und Analyse Ihrer Daten ein. Die Erstellung von Modellen durch ML Functions ist ein Opt-in-Feature und wird durch eine funktionsspezifische Berechtigung, wie z. B. CREATE SNOWFLAKE.ML.FORECAST, für Schemas gesteuert. Der Zugriff auf trainierte Modelle wird durch die USAGE-Berechtigung für das Modellobjekt gesteuert. Wenn Sie diese Berechtigungen bereits erteilt haben, widerrufen Sie diese, um zu verhindern, dass Benutzer ML Functions-Modelle erstellen oder verwenden.
Eigentümer von Schemas können ML Functions-Modelle in diesen erstellen, unabhängig davon, ob sie über CREATE-Berechtigungen für einen bestimmten Modelltyp verfügen. Sie sollten daher die Eigentümerschaft und Erstellung von Schemas auf vertrauenswürdige Benutzer beschränken. Gewähren Sie spezifische Berechtigungen zum Erstellen von Modellen innerhalb der einzelnen Schemas nur für Benutzer, die diese Berechtigungen ggf. benötigen.
Snowflake ML¶
Mit Snowflake ML können Sie benutzerdefinierte Machine Learning-Modelle, die in Python entwickelt wurden, im Snowflake-Maßstab erstellen, bereitstellen und verwalten. Die Erstellung und Verwendung von Snowflake ML-Objekten, einschließlich der Modell-Registry, des Feature Store sowie von Modellen und deren Versionen, werden nicht von der CORTEX_USER-Rolle gesteuert.
Snowflake ML-Objekte sind Objekte auf Schemaebene, was bedeutet, dass Benutzer Snowflake ML-Objekte in jedem Schema erstellen können, in dem sie OWNERSHIP oder eine entsprechende CREATE-Berechtigung (z. B. CREATE MODEL REGISTRY) haben. Daher wird der Zugriff auf Snowflake ML am besten kontrolliert, indem die Eigentümerschaft und die Erstellung von Schemas auf vertrauenswürdige Benutzer beschränkt werden. Gewähren Sie spezifische Berechtigungen zum Erstellen von Snowflake ML-Objekten innerhalb der einzelnen Schemas nur für Benutzer, die diese Berechtigungen ggf. benötigen.