Déploiement du modèle RBAC des fonctions Snowflake Cortex AI (avant-première)

Attention

Ce changement de comportement est présent dans le bundle 2026_02.

Pour connaître le statut actuel du bundle, reportez-vous à Historique du bundle.

Les fonctions Snowflake Cortex AI suivantes appliquent désormais pleinement les contrôles d’accès aux modèles via le paramètre CORTEX_MODELS_ALLOWLIST et le contrôle d’accès basé sur les rôles (RBAC) du modèle :

  • AI_TRANSCRIBE / SNOWFLAKE.CORTEX.TRANSCRIBE

  • AI_EXTRACT / SNOWFLAKE.CORTEX.EXTRACT

  • AI_SENTIMENT / SNOWFLAKE.CORTEX.SENTIMENT / SNOWFLAKE.CORTEX.ENTITY_SENTIMENT

  • AI_TRANSLATE / SNOWFLAKE.CORTEX.TRANSLATE

  • CLASSIFY_TEXT

  • SUMMARIZE

  • EXTRACT_ANSWER

  • AI_PARSE_DOCUMENT / SNOWFLAKE.CORTEX.PARSE_DOCUMENT

  • AI_REDACT

Avant la modification:

Le contrôle d’accès au modèle, CORTEX_MODELS_ALLOWLIST et le modèle RBAC étaient pleinement appliqués pour AI_COMPLETE/SNOWFLAKE.CORTEX.COMPLETE, AI_CLASSIFY, AI_FILTER, AI_AGG et AI_SUMMARIZE_AGG.

Pour les fonctions Snowflake Cortex AI précédentes, les contrôles d’accès aux modèles n’étaient pas appliqués. Les requêtes utilisant ces fonctions pouvaient aboutir même lorsque le modèle sous-jacent était restreint par CORTEX_MODELS_ALLOWLIST ou le modèle RBAC.

Après la modification:

Lorsque vous appelez l’une des fonctions Snowflake Cortex AI répertoriées, Snowflake va :

  1. Vérifier le modèle RBAC d’abord : Si le rôle appelant a une utilisation sur l’objet de modèle correspondant (par exemple, via SNOWFLAKE."CORTEX-MODEL-ROLE-ARCTIC-TRANSLATE"), l’appel est autorisé.

  2. Si aucun accès à l’objet de modèle n’est trouvé, vérifiez CORTEX_MODELS_ALLOWLIST : Si le modèle sous-jacent ou l’alias est répertorié dans CORTEX_MODELS_ALLOWLIST, ou si CORTEX_MODELS_ALLOWLIST = 'All', l’appel est autorisé.

  3. Sinon, l’appel échoue avec une erreur d’autorisation de modèle.

Cela permet d’aligner le comportement sur toutes les fonctions Snowflake Cortex AI répertoriées et garantit que les restrictions de votre modèle existantes sont respectées de manière cohérente.

Note

Si vous êtes concerné par ce changement :

Vous êtes concerné si vous avez défini le paramètre CORTEX_MODELS_ALLOWLIST sur une valeur différente de la valeur par défaut All et que vous utilisez l’un des fonctions Snowflake Cortex AI précédentes.

Si vous n’avez pas modifié la valeur du paramètre de la liste d’autorisation et que vous n’utilisez pas le modèle RBAC, vous ne verrez aucun changement de comportement.

Si vous avez personnalisé CORTEX_MODELS_ALLOWLIST, les requêtes concernées peuvent commencer à échouer avec une erreur d’autorisation de modèle, sauf si :

  • Le modèle sous-jacent ou son alias spécifique à la fonction est autorisé par CORTEX_MODELS_ALLOWLIST, ou

  • Le rôle qui exécute la requête possède le rôle d’application de modèle correspondant.

Pour se préparer à cette modification :

  1. Vérifiez les fonctions impactées que vous utilisez :

    SELECT DISTINCT FUNCTION_NAME
FROM SNOWFLAKE.ACCOUNT_USAGE.CORTEX_AISQL_USAGE_HISTORY
WHERE USAGE_TIME >= DATEADD(day, -90, CURRENT_TIMESTAMP())
  AND FUNCTION_NAME IN (
      'AI_TRANSCRIBE', 'TRANSCRIBE', 'AI_EXTRACT', 'AI_SENTIMENT',
      'SENTIMENT', 'ENTITY_SENTIMENT', 'AI_TRANSLATE', 'TRANSLATE',
      'CLASSIFY_TEXT', 'SUMMARIZE', 'EXTRACT_ANSWER',
      'AI_PARSE_DOCUMENT', 'PARSE_DOCUMENT', 'AI_REDACT'
  )
ORDER BY FUNCTION_NAME;
    Copy

  2. Vérifiez vos paramètres actuels de gouvernance des modèles :

    SHOW PARAMETERS LIKE 'CORTEX_MODELS_ALLOWLIST' IN ACCOUNT;
    Copy

  3. Si vous utilisez une liste d’autorisation (et non All), ajoutez les alias de modèle requis pour les fonctions que vous utilisez. Les alias de modèles courants sont les suivants :

    • arctic-translate (pour les AI_TRANSLATE)

    • arctic-transcribe (pour les AI_TRANSCRIBE)

    • arctic-extract (pour les AI_EXTRACT)

    • arctic-parse-document (pour les AI_PARSE_DOCUMENT)

    • arctic-extract-answer (pour les EXTRACT_ANSWER)

    • arctic-sentiment (pour les AI_SENTIMENT)

    • arctic-summarize (pour les SUMMARIZE)

    • llama3.1-70b (pour CLASSIFY_TEXT, AI_REDACT)

    • mistral-7b (pour les SUMMARIZE)

    Exemple :

    ALTER ACCOUNT SET CORTEX_MODELS_ALLOWLIST =
  'llama3.1-70b,arctic-translate,arctic-extract,arctic-sentiment,arctic-parse-document,arctic-extract-answer,arctic-summarize';
    Copy

Vous pouvez également utiliser le modèle RBAC en définissant CORTEX_MODELS_ALLOWLIST = 'None' et en accordant les rôles d’application de modèle (par exemple, SNOWFLAKE."CORTEX-MODEL-ROLE-ARCTIC-TRANSLATE") aux rôles appropriés.

Ce changement est effectué pour :

  • Maintenir une gouvernance cohérente

  • Appliquer uniformément l’accès au moindre privilège

  • Aligner des fonctions AI gérées aux contrôles d’accès existants des modèles Cortex

  • Renforcer les garanties de conformité au niveau de l’entreprise

  • Fournir un comportement d’autorisation de modèle transparent

Réf : 2220