Skip to main content
AI Data Engine
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

在 AI Data Engine 為您的數據資產定義防護策略

貢獻者 netapp-dbagwell
PDF

作為資料或平台擁有者,您可以使用 AI Data Engine Console 來定義哪些資料屬於 AI 的範圍、哪些資料總是禁止使用,以及當這些資料用於分類和檢索增強生成(RAG)時適用哪些安全規則。

使用這些程序在 AI Data Engine Console 中定義這些原則,以便 ONTAP System Manager 可以對工作區中的所有資料強制執行這些原則。

開始之前

  • 您需要擁有 AI Data Engine Console (https://<cluster_management_ip>/console 中的 storage administrator 權限,才能建立和管理全域原則。

  • 您擁有一個 AIDE 叢集,其中包含已部署且運作狀況良好的資料運算節點。

  • "OpenID Connect(OIDC)" 已配置,並且您的 IdP 角色已對應到允許資料策略管理的 AIDE 管理員角色。

  • AI Data Engine software 授權已安裝,以便啟用 guardrail 和推理功能。

  • 至少存在一個工作區,或者您已與管理員協調,以了解將在工作區中使用哪些資料來源(磁碟區)。

了解原則類型

AI Data Engine Console 公開了以下幾種策略類型,這些策略類型決定了您的資料環境:

  • Classifiers:啟用 classifiers 以偵測所有工作區中的 PII、安全性問題或其他模式。

  • 分類器類別:將分類器分組為法規遵循類別,以便於組織和管理。

  • Guardrail 政策:在檢索或推斷時應用的安全性和編輯規則。

您無法使用 ONTAP System Manager 建立或管理這些 guardrail 原則。它僅讀取這些原則,並在儲存管理員將其套用至工作區時強制執行。所有原則定義和維護均在 AI Data Engine Console 中完成。

啟用分類器

分類器會分析元資料和內容,以標註文件和物件(例如,偵測 PII 或敏感類別)。在分類器能夠處理工作區資料之前,您必須在 AI Data Engine Console 中啟用它們。

關於此任務

分類器的行為在 AI Data Engine Console 中由全域控制。所有已啟用的分類器都會在每個工作區運作。由於它們是全域應用的,因此無法針對單一工作區啟用或停用它們。它們只能全域啟用或停用。

步驟

  1. 在 AIDE Console 中,導覽至 Data Guardrails > Classifiers

  2. 選擇分類器類別以顯示其包含的分類器。

  3. 選取您要啟用之分類器的核取方塊,或選取所有列以大量啟用分類器。

  4. 選擇 Enable

    提示 使用批量選擇選項可以一次啟用多個分類器。每次啟用分類器時,都會觸發所有工作區的刷新。為了盡量減少不必要的刷新,請一次啟用多個分類器,而不是逐一啟用。
結果

所有新建和現有的工作空間在中繼資料處理期間都會執行已啟用的分類器。

分類標籤會寫入中繼資料目錄,並可供資料工程師在建立資料集合時進行篩選。

管理分類器類別

分類器按類別(例如「PII」或「Financial data」)進行組織。類別有助於您將相關的分類器分組,從而簡化管理和提高合規性可見度。您可以使用 AIDE 提供的預設類別,也可以建立自訂類別以滿足您的合規性要求。

步驟

  1. 在 AIDE Console 中,導覽至 Data Guardrails > Classifiers

  2. 檢視現有的分類器類別。分類主要分為兩大類:

    • 內容或資料:偵測檔案中的特定資料類型。

    • 文件:根據內容對文件類型進行分類。

  3. 確定預設分類器子類別是否足夠,或是否要建立自己的子類別。

    • 如果您使用的是預設分類器子類別(例如,General Privacy):

      1. 在 Classifier categories 中選擇類別名稱,以顯示關聯的分類器。

      2. 查看分類器清單。

      3. 選擇 Add 即可從可用分類器的完整清單中尋找並新增未列出的分類器。

    • 如果要建立自訂類別,請選擇 藍色加號後面跟著 Add 字樣

      1. 為該類別新增唯一名稱、說明,並指派可用的分類器。

      2. 選擇 Add

  4. 若要停用某個類別中的分類器,請選擇該分類器的 三個水平藍點,然後選擇 停用。您也可以選擇所有行來批次變更狀態。

結果

類別用於組織分類器,以便於查看合規性。資料工程師在篩選和建立資料集時可以使用分類標籤。

建立和管理 guardrail 原則

護欄策略決定了當分類器偵測到敏感內容或提示和檢索結果違反內容規則時,AIDE 如何回應。

典型的護欄行為包括:

  • 遮罩或編輯從檢索片段中的個人識別資訊。

  • 封鎖違反合規規則的答案。

  • 記錄或標記違規行為以供稽核。

關於此任務

您只能在 AI Data Engine Console 中建立和管理 Data Guardrails 原則。

在 ONTAP System Manager 中,一次只能將工作區與一個 guardrail 原則建立關聯。

步驟

  1. 在 AIDE Console 中,導覽至 Data guardrails > Guardrail policies

  2. 選擇 Add

  3. 輸入能夠清晰描述範圍的名稱和描述(例如, Customer PII redaction for support KB)。

  4. 配置資料分類器驅動的 Data Guardrails 啟動條件:

    1. 定義 guardrail 啟動條件:

      1. 為每個條件選擇分類器類別或分類器類型。

      2. 根據需要新增和定義其他條件。

      3. Search 中定義特定的搜尋條件,然後選擇 Accept

    2. 定義 Data Guardrails 原則的動作,例如匿名化內容或封鎖和從資料集合中移除檔案。

  5. 選擇要套用 Data Guardrails 的工作區。

  6. 設定原則狀態:

    • 已啟用:立即啟動原則。

    • 測試模式:可讓您在啟動原則之前驗證原則的影響。

    • 已停用:儲存 Data Guardrails 但不強制執行。

  7. 選擇 Add 以儲存策略並將其套用到工作區。

    提示 使用 測試模式 搭配試點工作區和非正式作業資料收集,以瞭解在啟用嚴格執行之前會有多少回應受到影響。
結果

新的防護策略已生效,且作用範圍僅限於選定的工作區。

策略如何與工作區互動

定義原則後:

  • 儲存管理員使用 ONTAP System Manager 建立工作區、選擇資料容器並關聯防護策略。

  • 分類器會根據您啟用的功能自動對工作區內容執行。

  • 附加到工作區的 Guardrails 會影響檢索端點的行為。

對於資料工程師和資料科學家:

  • 可見的資料資產(工作區和資料集合)已依角色指派進行篩選。

  • 您查詢的元資料(例如 PII 標籤)由已啟用的分類器驅動。

  • RAG 管道收到的回應受到工作區層級設定的 Data Guardrails 限制。

相關資訊