第 12 章 — 访问控制与身份
《LLM Primer VII: AI Security》章节走读的第十二篇。这一章回答那个组合性的问题 —— 谁被允许调用一个 LLM 集成应用的哪种能力,以及执法如何跨系统的各组件构建。
这一章为什么存在
传统访问控制学科都适用于 LLM 系统:给主体做认证、按策略给他们的请求做授权、把租户隔离开、按主体限定消耗、暴露企业治理层。机制就是这个领域用了几十年的那几样 —— OAuth 2.0、mTLS、RBAC、ABAC、token bucket、SAML、SCIM。新东西是:模型调用本身可以成为一个主体 —— 代表用户行事的智能体带着自己的身份和权限 —— 而按租户配置模型行为,对多租户 LLM 平台来说是一项一等产品功能。
12.1 认证与授权可以迁移,但要加东西
认证验证凭据。API key 是最简单的机制 —— 一个高熵字符串在开通时交给主体,在凭据库里存哈希,每次请求带在头里。它易于实现和使用,也易于通过日志、CI 输出和已提交仓库泄露。OAuth 2.0 bearer token 用短生命 token 和作用域限制改善了这个状况;OAuth 2.1 草案把过去十年的最佳实践收拢。mTLS 为机器之间的调用加了双向认证,对内部 LLM 服务尤其有用。授权问的是"这个认证过的主体被允许做什么"。RBAC —— 角色、权限、指派 —— 在人口能分成稳定组的时候管用。ABAC —— 基于属性的访问控制 —— 对主体、资源和上下文属性求谓词,能处理 RBAC 处理不了的情况:依赖资源拥有者、请求时间或位置、以及系统里各种关系的权限。两者不互斥;生产系统常常把它们叠起来,粗粒度用 RBAC、具体条件用 ABAC。第 10 章里那些策略引擎 —— OPA、Cedar —— 是让 ABAC 在规模下可维护的方法。
12.2 多租户隔离是一个纵深防御问题
一个多租户系统从一份部署里给多个客户提供服务。隔离要求是:任何一种失败模式下,任一租户都不能看到任何其他租户的数据、请求或模型交互。三种架构方法坐在一条谱系上。数据库级隔离 —— 每个租户一个数据库 —— 最强但运维最贵。schema 级隔离 —— 共享基础设施上每租户一个 PostgreSQL schema 或 MySQL database —— 是中间地带。行级隔离 —— 共享 schema、每行带 tenant ID、数据库强制的 row-level security —— 最便宜但需要有纪律的应用代码。对 LLM 系统来说,隔离延伸到检索语料(每租户的向量数据库 namespace)、prompt 构造逻辑(不做跨租户拼接)、日志存储(不做跨租户读),以及在租户特定数据上微调过的模型本身。速率限制和配额加上资源消耗这一轴。token bucket 允许在既定容量下的短时突发;滑动窗口以更高的计算成本执行更均匀的速率;leaky bucket 平滑下游速率。对 LLM 系统,速率限制的维度扩展了:每秒请求数、每分钟 token 数、每天成本、每小时工具调用数、每秒 embedding 数。每一维都有自己的经济和安全理由,企业档次通常沿着好几维做区分。
12.3 企业治理是让系统能用起来的那层叠加
企业客户有超出认证和速率限制的治理需求。他们要知道哪些员工在用系统、用哪些数据、为什么用。他们需要够内部合规和外部审计用的审计日志。他们需要对允许哪些模型、可用哪些工具、允许哪些内容类别的控制。他们需要数据处理承诺 —— 是否用于训练、加密、驻留、留存、删除。已成标配的功能反映了这些要求。经由 SAML 或 OpenID Connect 的单点登录,让企业身份提供者成为"谁能用系统"的真理源。SCIM 供给自动传播用户变更。审计日志导出把 LLM 系统的遥测送进企业 SIEM。数据驻留承诺保证一个租户的数据不离开指定辖区。客户自管加密密钥,让企业能独立于提供方去轮换或吊销。私有部署选项把 LLM 服务搬进企业自己的云账户。这里每一项功能都是一个治理面,需要运营、不只是实现;企业治理这层叠加,就是把一个多租户 LLM 平台变成受监管行业能采纳的东西的那一层。
第 12 章为下面铺了什么
第四部分发展了 LLM 安全的系统层维度:架构边界(第 10 章)、可观测性与事件响应(第 11 章)、以及身份与访问控制(第 12 章)。处理是机制优先的,给出了一份站得住的技术姿态。第 13 章开第五部分,从技术核心往外走到监管周界。欧盟 AI 法案 —— 大多数高风险类别自 2026 年 8 月起完全适用 —— 是最重要的单一工具,但美国联邦姿态(在 EO 14110 到 EO 14179 转变之后继续在演进)、州级法律(科罗拉多、加州、纽约市及其他)、GDPR 之于 AI,以及新加坡、日本、韩国、印度等地正在成形的框架,合起来让合规面是多元的、而不是统一的。这一章审视这些规定在实际层面要什么,以及第 3、10、11、12 章的控制如何映射到那些要求。
下一章 — 第 13 章:监管全景。欧盟 AI 法案的分阶段适用、GDPR 之于 AI 系统、可审计性、模型卡,以及塑造监管架构的风险分级框架。