> ## Documentation Index
> Fetch the complete documentation index at: https://docs.wandb.ai/llms.txt
> Use this file to discover all available pages before exploring further.
# Accéder à BYOB avec des URL pré-signées
> Comprendre comment W&B utilise des URL pré-signées pour accéder au stockage Blob, y compris le contrôle d’accès au niveau des équipes et la journalisation d’audit.
W\&B utilise des URL pré-signées pour simplifier l’accès au stockage Blob depuis vos charges de travail d’IA ou les navigateurs de vos utilisateurs. Cette page explique le fonctionnement des URL pré-signées dans W\&B. Elle présente également les contrôles d’accès, les restrictions réseau et la journalisation d’audit que les administrateurs doivent configurer pour sécuriser l’accès au stockage Blob.
Pour en savoir plus sur les URL pré-signées, reportez-vous à la documentation de votre fournisseur de cloud :
* [URL pré-signées pour AWS S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-presigned-url.html), qui s’applique également aux stockages compatibles S3 comme [CoreWeave AI Object Storage](https://docs.coreweave.com/docs/products/storage/object-storage).
* [URL signées pour Google Cloud Storage](https://cloud.google.com/storage/docs/access-control/signed-urls).
* [Signature d’accès partagé pour Azure Blob Storage](https://learn.microsoft.com/azure/storage/common/storage-sas-overview).
Le fonctionnement des URL pré-signées est le suivant :
1. Si nécessaire, les charges de travail d’IA ou les clients navigateur de vos utilisateurs au sein de votre réseau demandent des URL pré-signées à W\&B.
2. W\&B répond à la requête en accédant au stockage Blob pour générer une URL pré-signée avec les autorisations requises.
3. W\&B renvoie l’URL pré-signée au client.
4. Le client utilise l’URL pré-signée pour lire depuis le stockage Blob ou y écrire.
Une URL pré-signée expire après les durées suivantes :
* **Opérations de lecture** : 1 heure.
* **Opérations d’écriture** : 24 heures, afin de laisser plus de temps pour téléverser de gros objets par morceaux.
## Contrôle d’accès au niveau de l’équipe
Chaque URL pré-signée est limitée à des buckets spécifiques selon le [contrôle d’accès au niveau de l’équipe](/fr/platform/hosting/iam/access-management/manage-organization#add-and-manage-teams) dans la plateforme W\&B. Prenons le cas d’un utilisateur qui n’appartient qu’à une seule équipe, et que cette équipe est associée à un bucket de stockage via le [connecteur de stockage sécurisé](./secure-storage-connector). Dans ce cas, les URL pré-signées générées pour ses requêtes n’auront pas les autorisations nécessaires pour accéder aux buckets de stockage associés à d’autres équipes.
W\&B recommande d’ajouter les utilisateurs uniquement aux équipes auxquelles ils sont censés appartenir.
## Restriction réseau
W\&B recommande d’utiliser des politiques IAM pour restreindre, via des URL pré-signées, les réseaux autorisés à accéder au stockage externe. Cela permet de garantir que vos buckets W\&B ne sont accessibles que depuis les réseaux sur lesquels s’exécutent vos charges de travail d’IA, ou depuis des adresses IP de passerelle associées aux machines de vos utilisateurs.
Consultez la documentation de votre fournisseur de cloud pour obtenir des conseils sur la configuration de ces politiques IAM :
* Pour CoreWeave AI Object Storage, se référer à la [référence de la politique de bucket](https://docs.coreweave.com/docs/products/storage/object-storage/reference/bucket-policy#condition) dans la documentation CoreWeave.
* Pour AWS S3 ou un stockage compatible S3 comme MinIO hébergé dans votre environnement, se référer au [Guide de l’utilisateur Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-presigned-url.html#PresignedUrlUploadObject-LimitCapabilities), à la [documentation MinIO](https://github.com/minio/minio) ou à la documentation de votre fournisseur de stockage compatible S3.
## Journaux d’audit
W\&B recommande d’utiliser les [journaux d’audit W\&B](../monitoring-usage/audit-logging) conjointement avec les journaux d’audit propres au stockage Blob. Pour les journaux d’audit du stockage Blob, consultez la documentation de chaque fournisseur de cloud :
* [Journaux d’audit CoreWeave](https://docs.coreweave.com/docs/products/storage/object-storage/concepts/audit-logging#audit-logging-policies).
* [Journaux d’accès AWS S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html).
* [Journaux d’audit Google Cloud Storage](https://cloud.google.com/storage/docs/audit-logging).
* [Surveiller le stockage Blob Azure](https://learn.microsoft.com/azure/storage/blobs/monitor-blob-storage).
Les équipes d’administration et de sécurité peuvent utiliser les journaux d’audit pour suivre ce que fait chaque utilisateur dans W\&B et prendre des mesures si elles doivent limiter certaines opérations pour des utilisateurs spécifiques.
Les URL pré-signées sont le seul mécanisme d’accès au stockage Blob pris en charge dans W\&B. W\&B recommande de configurer tout ou partie des contrôles de sécurité précédents en fonction des besoins de votre organisation.
## Déterminer l’utilisateur ayant demandé une URL pré-signée
Pour corréler l’activité des URL pré-signées avec des utilisateurs W\&B spécifiques lors de l’examen des journaux d’audit, inspectez le paramètre de requête que W\&B ajoute à chaque URL. Lorsque W\&B renvoie une URL pré-signée, un paramètre de requête dans l’URL contient le nom d’utilisateur à l’origine de la requête :
| Fournisseur de stockage | Paramètre de requête de l’URL signée |
| --------------------------- | ------------------------------------ |
| CoreWeave AI Object Storage | `X-User` |
| AWS S3 | `X-User` |
| Google Cloud Storage | `X-User` |
| Azure Blob Storage | `scid` |