データ資産のためにAI Data Engineでガードレールポリシーを定義する
変更を提案
PDF
データまたはプラットフォームの所有者として、AI Data Engine Console を使用して、どのデータが AI の適用範囲内にあるか、どのデータが常に禁止されているか、そのデータが分類および検索拡張生成(RAG)に使用されるときにどのような安全ルールが適用されるかを定義します。
これらの手順を使用して、AIDE Console でこれらのポリシーを定義し、ONTAP System Manager がワークスペース内のすべてのデータにそれらを適用できるようにします。
-
AIDE Console(`\https://<cluster_management_ip>/console`でグローバル ポリシーを作成および管理するには、_ストレージ管理者_権限が必要です。
-
デプロイされた正常なデータ コンピューティング ノードを含むAIDE クラスターがあります。
-
"OpenID Connect(OIDC)"が設定され、IdP ロールがデータ ポリシー管理を許可する AIDE 管理者ロールにマッピングされている。
-
AIDE のソフトウェア ライセンスがインストールされ、ガードレール機能と推論機能が有効になっています。
-
少なくとも 1 つのワークスペースが存在するか、管理者と調整してワークスペースで使用されるデータ ソース(ボリューム)を把握しています。
ポリシーのタイプを理解する
AIDE Consoleは、データ資産を形成する次のポリシー タイプを公開します:
-
分類子:分類子を有効にして、すべてのワークスペースで PII、セキュリティの問題、またはその他のパターンを検出します。
-
分類子のカテゴリ:組織と管理のために、分類子をコンプライアンス カテゴリにグループ化します。
-
ガードレール ポリシー:取得または推論時に適用される安全性と編集のルール。
ONTAP System Managerを使用して、これらのガードレール ポリシーを作成または管理することはできません。ストレージ管理者がワークスペースに適用した場合にのみ、それらを読み取って適用します。すべてのポリシーの定義とメンテナンスは、AIDE Consoleで行われます。
分類器を有効にする
分類子はメタデータとコンテンツの両方を分析して、ファイルとオブジェクトに注釈を付けます(たとえば、PII または機密カテゴリを検出します)。ワークスペースデータで分類器を実行する前に、AI Data Engine Consoleで分類器を有効にする必要があります。
分類器の動作は、AI Data Engine Consoleでグローバルに制御されます。有効になっているすべての分類器は、すべてのワークスペースで実行されます。これらはグローバルに適用されるため、個々のワークスペースに対して有効または無効にすることはできません。これらはグローバルにのみ有効化または無効化できます。
-
AIDE Consoleで、*Data Guardrails > Classifiers*に移動します。
-
分類子カテゴリを選択すると、そこに含まれる分類子が表示されます。
-
有効にする分類子のチェックボックスを選択するか、すべての行を選択して分類子を一括で有効にします。
-
*Enable*を選択します。
一括選択オプションを使用して、複数の分類子を一度に有効にします。分類子を有効にするたびに、すべてのワークスペースでワークスペースの更新がトリガーされます。不要な更新を最小限に抑えるには、分類子を 1 つずつではなく、一度に複数有効にします。
新しく作成されたワークスペースと既存のワークスペースはすべて、メタデータ処理中に有効な分類子を実行します。
分類タグはメタデータ カタログに書き込まれ、データ エンジニアがデータ コレクションを作成するときにフィルタリングに使用できるようになります。
分類カテゴリを管理する
分類子は、カテゴリ(「PII」や「財務データ」など)に分類されます。カテゴリを使用すると、関連する分類子をグループ化して、管理とコンプライアンスの可視性を容易にすることができます。AIDEが提供するデフォルトのカテゴリを使用するか、コンプライアンス要件に合わせてカスタム カテゴリを作成できます。
-
AIDE Consoleで、*Data Guardrails > Classifiers*に移動します。
-
既存の分類カテゴリを表示します。分類には主に 2 つのカテゴリがあります:
-
コンテンツまたはデータ:ファイル内の特定の種類のデータを検出します。
-
ドキュメント:コンテンツに基づいてドキュメントの種類を分類します。
-
-
デフォルトの分類子のサブカテゴリで十分かどうか、または独自のサブカテゴリを作成するかどうかを決定します。
-
デフォルトの分類サブカテゴリ(たとえば、General Privacy)を使用している場合:
-
分類子カテゴリでカテゴリ名を選択すると、関連付けられている分類子が表示されます。
-
分類子のリストを調べます。
-
利用可能な分類子の完全なリストからリストされていない分類子を見つけて追加するには、追加 を選択します。
-
-
カスタムカテゴリを作成する場合は、
を選択します。-
一意の名前と説明を追加し、利用可能な分類子をカテゴリに割り当てます。
-
追加 を選択
-
-
-
カテゴリ内の分類子を無効にするには、分類子の
を選択し、*無効にする*を選択します。すべての行を選択して、状態を一括で変更することもできます。
カテゴリは、コンプライアンスの可視性を確保するために分類子を整理します。データ エンジニアは、データ コレクションをフィルタリングおよび作成するときに分類タグを使用できます。
ガードレール ポリシーの作成と管理
ガードレール ポリシーは、分類器が機密コンテンツを検出した場合、またはプロンプトと検索結果がコンテンツ ルールに違反した場合に、AIDEがどのように応答するかを決定します。
典型的なガードレールの動作は次のとおりです:
-
取得したスニペットから PII をマスクまたは編集します。
-
コンプライアンス ルールに違反する回答をブロックします。
-
監査のために違反をログに記録またはタグ付けします。
ガードレールポリシーの作成と管理は、AI Data Engine Consoleでのみ行います。
ONTAP System Managerでは、ワークスペースを一度に1つのガードレールポリシーにのみ関連付けることができます。
-
AIDE Consoleで、Data Guardrails > *Guardrail policies*に移動します。
-
*追加*を選択します。
-
スコープを明確に説明する名前と説明を入力します(例:
Customer PII redaction for support KB)。 -
ガードレールのアクティブ化に必要なデータ分類器駆動条件を設定します:
-
ガードレールの作動条件を定義します:
-
各条件の分類子カテゴリまたは分類子タイプを選択します。
-
必要に応じて追加の条件を追加して定義します。
-
*検索*で特定の検索条件を定義し、*Accept*を選択します。
-
-
コンテンツの匿名化やデータ コレクションからのファイルのブロックと削除など、ガードレール ポリシーのアクションを定義します。
-
-
ガードレールを適用するワークスペースを選択します。
-
ポリシーの状態を設定します:
-
有効:ポリシーを直ちにアクティブ化します。
-
テスト モード:ポリシーを有効にする前にその影響を検証できます。
-
無効:ガードレールを強制せずに保存します。
-
-
追加 を選択してポリシーを保存し、ワークスペースに適用します。
厳格な適用を有効にする前に、パイロット ワークスペースと非本番環境のデータ収集で Test Mode を使用して、影響を受ける応答の数を把握します。
新しいガードレール ポリシーがアクティブになり、選択したワークスペースに範囲が指定されます。
ポリシーとワークスペースの連携方法
ポリシーが定義された後:
-
ストレージ管理者は ONTAP System Manager を使用してワークスペースを作成し、データ コンテナーを選択し、ガードレール ポリシーを関連付けます。
-
分類子は、有効にした内容に基づいて、ワークスペースのコンテンツに対して自動的に実行されます。
-
ワークスペースにアタッチされた Data Guardrails は、取得エンドポイントの動作に影響を与えます。
データ エンジニアとデータ サイエンティスト向け:
-
表示されるデータ資産(ワークスペースとデータ コレクション)は、すでにロールの割り当てによってフィルタ処理されています。
-
クエリするメタデータ(PII タグなど)は、有効になっている分類子によって制御されます。
-
RAG パイプラインが受信する応答は、ワークスペース レベルで構成された Data Guardrails によって制約されます。