AI エージェントのセキュリティコントロールの定義
AI エージェントのガイド付きセットアップで、AI エージェントにアクセスできるユーザーと AI エージェントがアクセスできるデータのセキュリティコントロールを定義します。
始める前に
必要なロール:sn_aia.admin
このタスクについて
[ セキュリティコントロールの定義] ステップは、[ ユーザーアクセスの定義] と [データアクセスの定義] の 2 つの部分に分かれています。前者では、AI エージェントを検出または呼び出すことができるユーザーを決定する ACL が作成されます。後者は、AI エージェントが呼び出されたときにアクセスできるデータを定義します。
AI エージェントのセキュリティのための ACL とユーザー ID の作成の詳細については、「 AI エージェントのセキュリティ 」を参照してください。
手順
-
[ 保存して続行] を選択して、次の手順に進みます。
保存して次のステップに進むと、AI エージェントの ACL の作成がトリガーされます。後で変更する場合は、ガイド付きセットアップに戻ってここでオプションを変更できます。適切な昇格ロールがある場合は、ACL テーブルで直接編集することもできます。
-
AI エージェントのユーザー ID を定義して、アクセスできるデータを決定します。
2 つのオプションは、[ Dynamic user ] と [ AI user] です。動的ユーザーは、AI エージェントを呼び出すユーザー、または AI エージェントを呼び出すエージェント型ワークフローの動的ユーザーです。AI ユーザーは、アクセスを許可する独自に指定されたロールを持つ専用ユーザーであり、動的ユーザーよりも多くのロールになる可能性があります。
AI ユーザーがいなくても AI user ID を使用する場合は、ユーザーテーブルに新しいレコードを作成する必要があります。「 ユーザーの作成」を参照してください。ID タイプとして [ AI user ] を選択します。
[ Dynamic user] を選択すると、AI エージェントを実行する Approved roles を選択できます。デフォルトでは、AI エージェントは動的ユーザーとして実行され、呼び出し元ユーザーのロールを持ちます。承認されたロールを選択して、AI エージェントが持つことができるデータアクセスを制限します。動的ユーザーとして実行するには、すべての AI エージェントとエージェント型ワークフローにロールマスクを適用する必要があります。
特定のエージェント型ワークフローまたは AI エージェントのロールマスク要件を上書きするために、適切な昇格されたアクセス権を持つアドミンは、特定のエージェント型ワークフローまたは AI エージェントのロールの承認済みリストを作成できます。次に、エージェントアクセスロール構成テーブル [sys_agent_access_role_configuration] のそのロールマスクレコードにアクセスし、[すべてのロールを許可] チェックボックスをオンにします。これらの手順を実行すると、 AI エージェントスタジオ でのロールマスク承認済みロールリストの要件が非アクティブ化されるため、AI アドミンは AI エージェントスタジオ に戻り、ロールマスクを適用せずにエージェント型ワークフローまたは AI エージェントの構成を続行できます。
注:ロールマスキングは、セキュリティのベストプラクティスとして適用し、最小特権の原則に従う必要があります。ロールマスク要件を上書きすることはお勧めしません。[ AI user] を選択すると、AI ユーザーが持つロールのリストが表示されます。
タスクの結果
AI エージェントを検出してアクセスできるユーザーを決定する ACL を作成し、AI エージェントにユーザー ID (および該当する場合はロールマスキング) をアサインして、アクセスできるデータを決定しました。
次のタスク
[ Save and continue (保存して続行 )] を選択して、次のステップ「 Adding a trigger (トリガーの追加)」に進みます。トリガーの追加はオプションです。最後のステップ「 チャネルとアクセスの選択」にスキップすることもできます。