Accéder à BYOB avec des URL pré-signées

W&B utilise des URL pré-signées pour simplifier l’accès au stockage Blob depuis vos charges de travail d’IA ou les navigateurs de vos utilisateurs. Pour des informations de base sur les URL pré-signées, reportez-vous à la documentation de votre fournisseur cloud :

URL pré-signées pour AWS S3, qui s’applique également aux stockages compatibles S3 comme CoreWeave AI Object Storage.
URL signées pour Google Cloud Storage
Signature d’accès partagé pour Azure Blob Storage

Fonctionnement :

Si nécessaire, les charges de travail d’IA ou les clients navigateur de vos utilisateurs au sein de votre réseau demandent des URL pré-signées à W&B.
W&B répond à la requête en accédant au stockage Blob pour générer une URL pré-signée avec les autorisations requises.
W&B renvoie l’URL pré-signée au client.
Le client utilise l’URL pré-signée pour lire ou écrire dans le stockage Blob.

Une URL pré-signée expire au bout de :

Lecture : 1 heure
Écriture : 24 heures, afin de laisser plus de temps pour téléverser de gros objets par morceaux.

Contrôle d’accès au niveau de l’équipe

Chaque URL pré-signée est limitée à des buckets spécifiques selon le contrôle d’accès au niveau de l’équipe dans la plateforme W&B. Si un utilisateur appartient à une équipe associée à un bucket de stockage via le connecteur de stockage sécurisé, et s’il n’appartient qu’à cette seule équipe, alors les URL pré-signées générées pour ses requêtes n’auront pas les autorisations nécessaires pour accéder aux buckets de stockage associés à d’autres équipes.

W&B recommande d’ajouter les utilisateurs uniquement aux équipes auxquelles ils sont censés appartenir.

Restriction réseau

W&B recommande d’utiliser des politiques IAM pour restreindre, via des URL pré-signées, les réseaux autorisés à accéder au stockage externe. Cela permet de garantir que vos buckets W&B ne sont accessibles que depuis les réseaux sur lesquels s’exécutent vos charges de travail d’IA, ou depuis des adresses IP de passerelle associées aux machines de vos utilisateurs.

Pour CoreWeave AI Object Storage, se référer à la référence de la politique de bucket dans la documentation CoreWeave.
Pour AWS S3 ou un stockage compatible S3 comme MinIO hébergé dans votre environnement, se référer au guide utilisateur S3, à la documentation MinIO ou à la documentation de votre fournisseur de stockage compatible S3.

Journaux d’audit

W&B recommande d’utiliser les journaux d’audit W&B conjointement avec les journaux d’audit propres au stockage Blob. Pour les journaux d’audit du stockage Blob, consultez la documentation de chaque fournisseur cloud :

Les équipes d’administration et de sécurité peuvent utiliser les journaux d’audit pour savoir quel utilisateur effectue quelle action dans le produit W&B et prendre les mesures nécessaires si elles déterminent que certaines opérations doivent être limitées pour certains utilisateurs.

Les URL pré-signées sont le seul mécanisme d’accès au stockage Blob pris en charge dans W&B. W&B recommande de configurer tout ou partie des contrôles de sécurité ci-dessus en fonction des besoins de votre organisation.

Déterminer l’utilisateur ayant demandé une URL pré-signée

Lorsque W&B renvoie une URL pré-signée, un paramètre de requête dans l’URL contient le nom d’utilisateur à l’origine de la requête :

Fournisseur de stockage	Paramètre de requête de l’URL signée
CoreWeave AI Object Storage	`X-User`
stockage d’AWS S3	`X-User`
stockage Google Cloud	`X-User`
Azure stockage Blob	`scid`

Bienvenue sur W&B

Produits

Détails de la plateforme

Ressources

Contrôle d’accès au niveau de l’équipe

Restriction réseau

Journaux d’audit

Déterminer l’utilisateur ayant demandé une URL pré-signée

Bienvenue sur W&B

Produits

Détails de la plateforme

Ressources

​Contrôle d’accès au niveau de l’équipe

​Restriction réseau

​Journaux d’audit

​Déterminer l’utilisateur ayant demandé une URL pré-signée

Contrôle d’accès au niveau de l’équipe

Restriction réseau

Journaux d’audit

Déterminer l’utilisateur ayant demandé une URL pré-signée