Passer au contenu principal
W&B utilise des URL pré-signées pour simplifier l’accès au stockage Blob depuis vos charges de travail d’IA ou les navigateurs de vos utilisateurs. Cette page explique le fonctionnement des URL pré-signées dans W&B. Elle présente également les contrôles d’accès, les restrictions réseau et la journalisation d’audit que les administrateurs doivent configurer pour sécuriser l’accès au stockage Blob. Pour en savoir plus sur les URL pré-signées, reportez-vous à la documentation de votre fournisseur de cloud : Le fonctionnement des URL pré-signées est le suivant :
  1. Si nécessaire, les charges de travail d’IA ou les clients navigateur de vos utilisateurs au sein de votre réseau demandent des URL pré-signées à W&B.
  2. W&B répond à la requête en accédant au stockage Blob pour générer une URL pré-signée avec les autorisations requises.
  3. W&B renvoie l’URL pré-signée au client.
  4. Le client utilise l’URL pré-signée pour lire depuis le stockage Blob ou y écrire.
Une URL pré-signée expire après les durées suivantes :
  • Opérations de lecture : 1 heure.
  • Opérations d’écriture : 24 heures, afin de laisser plus de temps pour téléverser de gros objets par morceaux.

Contrôle d’accès au niveau de l’équipe

Chaque URL pré-signée est limitée à des buckets spécifiques selon le contrôle d’accès au niveau de l’équipe dans la plateforme W&B. Prenons le cas d’un utilisateur qui n’appartient qu’à une seule équipe, et que cette équipe est associée à un bucket de stockage via le connecteur de stockage sécurisé. Dans ce cas, les URL pré-signées générées pour ses requêtes n’auront pas les autorisations nécessaires pour accéder aux buckets de stockage associés à d’autres équipes.
W&B recommande d’ajouter les utilisateurs uniquement aux équipes auxquelles ils sont censés appartenir.

Restriction réseau

W&B recommande d’utiliser des politiques IAM pour restreindre, via des URL pré-signées, les réseaux autorisés à accéder au stockage externe. Cela permet de garantir que vos buckets W&B ne sont accessibles que depuis les réseaux sur lesquels s’exécutent vos charges de travail d’IA, ou depuis des adresses IP de passerelle associées aux machines de vos utilisateurs. Consultez la documentation de votre fournisseur de cloud pour obtenir des conseils sur la configuration de ces politiques IAM :

Journaux d’audit

W&B recommande d’utiliser les journaux d’audit W&B conjointement avec les journaux d’audit propres au stockage Blob. Pour les journaux d’audit du stockage Blob, consultez la documentation de chaque fournisseur de cloud : Les équipes d’administration et de sécurité peuvent utiliser les journaux d’audit pour suivre ce que fait chaque utilisateur dans W&B et prendre des mesures si elles doivent limiter certaines opérations pour des utilisateurs spécifiques.
Les URL pré-signées sont le seul mécanisme d’accès au stockage Blob pris en charge dans W&B. W&B recommande de configurer tout ou partie des contrôles de sécurité précédents en fonction des besoins de votre organisation.

Déterminer l’utilisateur ayant demandé une URL pré-signée

Pour corréler l’activité des URL pré-signées avec des utilisateurs W&B spécifiques lors de l’examen des journaux d’audit, inspectez le paramètre de requête que W&B ajoute à chaque URL. Lorsque W&B renvoie une URL pré-signée, un paramètre de requête dans l’URL contient le nom d’utilisateur à l’origine de la requête :
Fournisseur de stockageParamètre de requête de l’URL signée
CoreWeave AI Object StorageX-User
AWS S3X-User
Google Cloud StorageX-User
Azure Blob Storagescid