> ## Documentation Index
> Fetch the complete documentation index at: https://wb-21fd5541-docs-1917.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.

# Accéder à BYOB avec des URL pré-signées

> Comprendre comment W&B utilise des URL pré-signées pour accéder au stockage Blob, y compris le contrôle d’accès au niveau des équipes et la journalisation d’audit.

W\&B utilise des URL pré-signées pour simplifier l’accès au stockage Blob depuis vos charges de travail d’IA ou les navigateurs de vos utilisateurs. Pour des informations de base sur les URL pré-signées, reportez-vous à la documentation de votre fournisseur cloud :

* [URL pré-signées pour AWS S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-presigned-url.html), qui s’applique également aux stockages compatibles S3 comme [CoreWeave AI Object Storage](https://docs.coreweave.com/docs/products/storage/object-storage).
* [URL signées pour Google Cloud Storage](https://cloud.google.com/storage/docs/access-control/signed-urls)
* [Signature d’accès partagé pour Azure Blob Storage](https://learn.microsoft.com/azure/storage/common/storage-sas-overview)

Fonctionnement :

1. Si nécessaire, les charges de travail d’IA ou les clients navigateur de vos utilisateurs au sein de votre réseau demandent des URL pré-signées à W\&B.
2. W\&B répond à la requête en accédant au stockage Blob pour générer une URL pré-signée avec les autorisations requises.
3. W\&B renvoie l’URL pré-signée au client.
4. Le client utilise l’URL pré-signée pour lire ou écrire dans le stockage Blob.

Une URL pré-signée expire au bout de :

* **Lecture** : 1 heure
* **Écriture** : 24 heures, afin de laisser plus de temps pour téléverser de gros objets par morceaux.

<div id="team-level-access-control">
  ## Contrôle d’accès au niveau de l’équipe
</div>

Chaque URL pré-signée est limitée à des buckets spécifiques selon le [contrôle d’accès au niveau de l’équipe](/fr/platform/hosting/iam/access-management/manage-organization#add-and-manage-teams) dans la plateforme W\&B. Si un utilisateur appartient à une équipe associée à un bucket de stockage via le [connecteur de stockage sécurisé](./secure-storage-connector), et s’il n’appartient qu’à cette seule équipe, alors les URL pré-signées générées pour ses requêtes n’auront pas les autorisations nécessaires pour accéder aux buckets de stockage associés à d’autres équipes.

<Note>
  W\&B recommande d’ajouter les utilisateurs uniquement aux équipes auxquelles ils sont censés appartenir.
</Note>

<div id="network-restriction">
  ## Restriction réseau
</div>

W\&B recommande d’utiliser des politiques IAM pour restreindre, via des URL pré-signées, les réseaux autorisés à accéder au stockage externe. Cela permet de garantir que vos buckets W\&B ne sont accessibles que depuis les réseaux sur lesquels s’exécutent vos charges de travail d’IA, ou depuis des adresses IP de passerelle associées aux machines de vos utilisateurs.

* Pour CoreWeave AI Object Storage, se référer à la [référence de la politique de bucket](https://docs.coreweave.com/docs/products/storage/object-storage/reference/bucket-policy#condition) dans la documentation CoreWeave.
* Pour AWS S3 ou un stockage compatible S3 comme MinIO hébergé dans votre environnement, se référer au [guide utilisateur S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-presigned-url.html#PresignedUrlUploadObject-LimitCapabilities), à la [documentation MinIO](https://github.com/minio/minio) ou à la documentation de votre fournisseur de stockage compatible S3.

<div id="audit-logs">
  ## Journaux d’audit
</div>

W\&B recommande d’utiliser les [journaux d’audit W\&B](../monitoring-usage/audit-logging) conjointement avec les journaux d’audit propres au stockage Blob. Pour les journaux d’audit du stockage Blob, consultez la documentation de chaque fournisseur cloud :

* [Journaux d’audit CoreWeave](https://docs.coreweave.com/docs/products/storage/object-storage/concepts/audit-logging#audit-logging-policies)
* [Journaux d’accès AWS S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)
* [Journaux d’audit Google Cloud Storage](https://cloud.google.com/storage/docs/audit-logging)
* [Surveiller le stockage Blob Azure](https://learn.microsoft.com/azure/storage/blobs/monitor-blob-storage).

Les équipes d’administration et de sécurité peuvent utiliser les journaux d’audit pour savoir quel utilisateur effectue quelle action dans le produit W\&B et prendre les mesures nécessaires si elles déterminent que certaines opérations doivent être limitées pour certains utilisateurs.

<Note>
  Les URL pré-signées sont le seul mécanisme d’accès au stockage Blob pris en charge dans W\&B. W\&B recommande de configurer tout ou partie des contrôles de sécurité ci-dessus en fonction des besoins de votre organisation.
</Note>

<div id="determine-the-user-that-requested-a-pre-signed-url">
  ## Déterminer l’utilisateur ayant demandé une URL pré-signée
</div>

Lorsque W\&B renvoie une URL pré-signée, un paramètre de requête dans l’URL contient le nom d’utilisateur à l’origine de la requête :

| Fournisseur de stockage     | Paramètre de requête de l’URL signée |
| --------------------------- | ------------------------------------ |
| CoreWeave AI Object Storage | `X-User`                             |
| stockage d’AWS S3           | `X-User`                             |
| stockage Google Cloud       | `X-User`                             |
| Azure  stockage Blob        | `scid`                               |
