Désactiver des fonctionnalités Snowflake AI¶
La plupart des fonctionnalités Snowflake AI sont initialement disponibles pour tous les utilisateurs de votre compte Snowflake. L’accès à la plupart des fonctionnalités est contrôlé par le rôle de base de données CORTEX_USER, qui est initialement accordé au rôle PUBLIC. Tous les utilisateurs se voient attribuer le rôle PUBLIC, ce qui leur donne accès par défaut aux fonctionnalités de Cortex. (L’accès à Snowflake Copilot est contrôlé par le rôle de base de données COPILOT_USER, également accordé à PUBLIC par défaut). Deux fonctionnalités, Cortex Analyst et Document AI, sont des fonctionnalités optionnelles qui ne sont pas accessibles aux utilisateurs par défaut.
Désactiver les fonctionnalités par défaut¶
Pour révoquer l’accès à toutes les fonctionnalités Snowflake AI qui sont disponibles par défaut pour les utilisateurs, révoquez les rôles de base de données CORTEX_USER et COPILOT_USER à partir du rôle PUBLIC. Vous pouvez accorder ces rôles à des rôles spécifiques qui doivent avoir accès aux fonctionnalités, le cas échéant, puis accorder ces rôles à des utilisateurs spécifiques selon les besoins.
Note
Si vous n’avez accordé l’accès à aucune fonctionnalité optionnelle, la révocation des rôles CORTEX_USER et COPILOT_USER depuis PUBLIC entraîne la désactivation de toutes les fonctionnalités Snowflake AI sur votre compte.
Utilisez SQL comme suit pour révoquer l’accès aux rôles CORTEX_USER et COPILOT_USER depuis le rôle PUBLIC, puis accordez-les à des rôles et à des utilisateurs spécifiques.
-- Revoke access to most Snowflake AI features from all users in the account
REVOKE ROLE CORTEX_USER FROM ROLE PUBLIC;
REVOKE ROLE COPILOT_USER FROM ROLE PUBLIC;
-- Optionally, grant access to specific roles
GRANT ROLE CORTEX_USER TO ROLE my_cortex_role;
GRANT ROLE COPILOT_USER TO ROLE my_copilot_role;
-- Then grant those roles to specific users
GRANT ROLE my_cortex_role TO USER alice;
GRANT ROLE my_copilot_role TO USER bob;
Révoquer l’accès aux fonctionnalités facultatives¶
Deux fonctionnalités Snowflake AI, Document AI et Cortex Analyst, sont facultatives. L’accès à ces fonctionnalités est désactivé par défaut, de sorte que si vous ne leur avez jamais accordé l’accès, vos utilisateurs ne peuvent pas les utiliser. Si vous avez accordé l’accès à l’une ou aux deux de ces fonctionnalités, toutefois, vous pouvez révoquer l’accès comme suit :
Cortex Analyst : Définissez le paramètre de compte ENABLE_CORTEX_ANALYST sur FALSE.
Document AI : Révoquez le rôle de base de données SNOWFLAKE.DOCUMENT_INTELLIGENCE_CREATOR à partir de tous les rôles auxquels vous l’avez accordé.
Note
Les pipelines déjà créés continueront de fonctionner après la révocation de l’accès à la fonctionnalité. Suspendez ou supprimez les tâches associées aux pipelines pour les empêcher de s’exécuter.
Contrôle d’accès par fonctionnalité¶
Le tableau suivant contient des informations plus détaillées sur le contrôle d’accès pour les différentes fonctionnalités Snowflake AI :
Fonctionnalité |
Facultative |
Méthode de contrôle d’accès principale |
Méthodes de contrôle d’accès supplémentaires |
|---|---|---|---|
Rôle de la base de données CORTEX_USER |
USAGE sur le service de recherche que l’agent interroge, plus USAGE sur la base de données, le schéma et la table utilisés par le service de recherche |
||
Rôle de la base de données CORTEX_USER |
|||
✔ |
Paramètre de compte ENABLE_CORTEX_ANALYST |
||
Rôle de la base de données CORTEX_USER |
CREATE MODEL sur le schéma où vous créez des modèles affinés |
||
Rôle de la base de données CORTEX_USER |
Repose sur le contrôle d’accès pour le Cortex Search Service sous-jacent |
||
Rôle de la base de données CORTEX_USER |
USAGE sur le service de recherche, la base de données, le schéma et la table utilisés par le service de recherche |
||
✔ |
Rôle de base de données SNOWFLAKE.DOCUMENT_INTELLIGENCE_CREATOR |
Nombre de privilèges au niveau de l’objet pour la création de modèles et de pipelines |
|
Rôle de la base de données COPILOT_USER |
|||
Rôle de la base de données CORTEX_USER |
Repose sur le contrôle d’accès pour le Cortex Agent ou le service de recherche sous-jacent |
Désactiver des modèles spécifiques et des fonctions AISQL¶
Étant donné que le coût de l’utilisation de différents grands modèles de langage et les fonctions AISQL varient, vous pouvez limiter l’accès à des LLMs spécifiques ou des fonctions. L’accès aux modèles et fonctions individuels peut être contrôlé par une liste d’autorisation au niveau du compte, un contrôle d’accès basé sur les rôles ou les deux. Pour plus d’informations, voir Contrôle de l’accès au modèle.
Contrôle de l’accès aux fonctionnalités ML¶
Les fonctionnalités ML de Snowflake ne sont pas des fonctionnalités AI pour que l’accès à celles-ci ne soit pas contrôlé par le rôle CORTEX_USER.
Fonctions ML¶
Les Fonctions ML utilise le machine learning classique pour la prévision, la détection des anomalies, la classification et l’analyse de vos données. La création de modèles avec des fonctions ML est facultative et contrôlée par un privilège spécifique à la fonction, comme CREATE SNOWFLAKE.ML.FORECAST, sur les schémas. L’accès aux modèles entraînés est contrôlé par le privilège USAGE sur l’objet de modèle. Si vous avez déjà accordé ces privilèges, révoquez-les pour empêcher les utilisateurs de créer ou d’utiliser des modèles de fonctions ML.
Les propriétaires des schémas peuvent créer des modèles de fonctions ML, qu’ils aient ou non des privilèges CREATE pour un type spécifique de modèle, limitez donc la propriété et la création de schémas à des utilisateurs de confiance. Accordez des privilèges spécifiques pour créer des modèles dans chaque schéma uniquement aux utilisateurs qui en ont besoin, le cas échéant.
Snowflake ML¶
Snowflake ML vous permet de créer, déployer et gérer des modèles personnalisés de machine learning développés en Python, à l’échelle de Snowflake. La création et l’utilisation d’objets Snowflake ML, y compris le registre des modèles, le référentiel de fonctionnalités, et les modèles et leurs versions, ne sont pas contrôlées par le rôle CORTEX_USER.
Les objets Snowflake ML sont des objets de niveau schéma, ce qui signifie que les utilisateurs peuvent créer des objets Snowflake ML dans n’importe quel schéma sur lequel ils ont un privilège OWNERSHIP ou CREATE approprié (par exemple, CREATE MODEL REGISTRY). Par conséquent, l’accès à Snowflake ML est mieux contrôlé en limitant la propriété et la création de schémas à des utilisateurs de confiance. Accordez des privilèges spécifiques pour créer des objets Snowflake ML dans chaque schéma uniquement aux utilisateurs qui en ont besoin, le cas échéant.